sección at 801 - Colegio de Contadores de Chile
Transcripción
sección at 801 - Colegio de Contadores de Chile
La presente Sección de Atestiguación AT 801 fue aprobada por el Consejo Nacional del Colegio de Contadores de Chile A.G., en su sesión ordinaria del día 21 de julio de 2011, de acuerdo a las atribuciones contenidas en el Artículo Nº 13.11 del Estatuto del Colegio (Art. 13°, letra (g) de la Ley Nº 13.011). SECCIÓN AT 801 Informar sobre los Controles en una Organización de Servicios Introducción Alcance de esta Sección 1. Esta Sección trata los exámenes efectuados por un auditor de organizaciones de servicios para informar sobre los controles en organizaciones que proporcionan servicios a entidades usuarias cuando sea probable que esos controles sean pertinentes al control interno de las entidades usuarias sobre el proceso de preparación y presentación de información financiera. Complementa a la Sección AU 324 Organizaciones de Servicios en que los informes preparados de acuerdo con esta Sección pueden proporcionar evidencia apropiada de acuerdo con la Sección AU 324. (Ver párrafo A1) 2. El enfoque de esta Sección es sobre los controles en organizaciones de servicio que probablemente sean pertinentes al control interno de las entidades usuarias respecto al proceso de preparación y presentación de información financiera. Las guías aquí presentadas pueden ser de ayuda a un profesional que efectúe un trabajo de acuerdo con la Sección AT 101, Trabajos de Atestiguación, para informar sobre los controles en una organización de servicios: a. distintos a aquellos que probablemente sean pertinentes al control interno de entidades usuarias sobre el proceso de preparación y presentación de información financiera (por ejemplo, los controles que afectan al cumplimiento por entidades usuarias con los requerimientos especificados en leyes, regulaciones, reglamentos, contratos o subvenciones, o controles que afectan al control de producción o control de calidad de las entidades usuarias). La Sección AT 601, Atestiguaciones de Cumplimento, es aplicable si un profesional está informando sobre el cumplimiento por la entidad con requerimientos especificados o sobre sus controles del cumplimiento con requerimientos especificados. (Ver párrafos A2-A3) b. cuando la Administración de la organización de servicios no es responsable por el diseño del sistema (por ejemplo, cuando el sistema ha sido diseñado por la entidad usuaria o el diseño está estipulado en un contrato entre la entidad usuaria y la organización de servicios). (Ver párrafo A4) 3. Un auditor de una organización de servicios, además de efectuar un examen de los controles de una organización de servicios, puede ser contratado para (a) examinar e informar sobre las transacciones o saldos de una entidad usuaria mantenidos por una organización de servicios, o (b) efectuar e informar los resultados de procedimientos acordados relacionados con los controles de una organización de servicios o con transacciones o saldos de una entidad usuaria mantenidos por una organización de servicios. Sin embargo, estos trabajos no son tratados en esta Sección. 4. En esta Sección los requerimientos y guías de aplicación, están basados sobre la premisa que la Administración de la organización de servicios (también referida como Administración) proporcionará al auditor de la organización de servicios con una afirmación escrita que es incluida en o adjuntada a la descripción por la Administración del sistema de la organización de servicios. El párrafo 10 de esta Sección trata las circunstancias en que la Administración se rehúsa a proporcionar tal afirmación escrita. La Sección AT 101 indica que al efectuar un trabajo de atestiguación, un profesional puede informar directamente sobre la materia a evaluar o sobre la afirmación de la Administración. En el caso de trabajos efectuados de acuerdo con esta Sección, se requiere que el auditor de la organización de servicios informe directamente sobre la materia a evaluar. Fecha de vigencia 5. Esta Sección tiene vigencia para los informes de auditores de organizaciones de servicios para los períodos terminados el o con posterioridad al 15 de junio de 2011. Está permitida su aplicación anticipada. Objetivos 6. Los objetivos del auditor de una organización de servicios son: a. obtener una seguridad razonable respecto a si, en todos sus aspectos significativos, basado en criterios adecuados i. la descripción por la Administración del sistema de la organización de servicios presenta razonablemente al sistema que fue diseñado e implementado durante todo el período especificado (o en el caso de un informe Tipo 1, a una fecha especificada). ii. los controles relacionados con los objetivos del control indicados en la descripción por la Administración del sistema de la organización de servicios, fueron adecuadamente diseñados durante todo el período especificado (o en el caso de un informe Tipo 1, a una fecha especificada). iii. cuando fueron incluidos en el alcance del trabajo, los controles operaron con efectividad para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción de la Administración del sistema de la organización de servicios, fueron logrados durante todo el período especificado. b. informar sobre los asuntos en 6(a) de acuerdo con los hallazgos del auditor de la organización de servicios. Definiciones 7. Para los propósitos de esta Sección, los siguientes términos tienen los significados que se indican a continuación: Método de exclusión. Es el método de tratar los servicios proporcionados por una organización de sub-servicios, mediante el cual la descripción por la Administración del sistema de la organización de servicios identifica la naturaleza de los servicios proporcionados por la organización de sub-servicios y excluye de la descripción y del alcance del trabajo del auditor de la organización de servicios, a los objetivos de control y controles relacionados pertinentes a la organización de sub-servicios. La descripción por la Administración del sistema de la organización de servicios y el alcance del trabajo del auditor de la organización de servicios incluye a los controles en la organización de servicios que monitorean la efectividad de los controles en la organización de sub-servicios, los cuales pueden incluir la administración de la revisión por parte de la organización de servicios de un informe de un auditor de una organización de servicios sobre los controles en la organización de sub-servicios. Controles complementarios de la entidad usuaria. Los controles que la Administración de la organización de servicios asume, serán implementados por las entidades usuarias en el diseño del servicio proporcionado por la organización de servicios, los cuales, si fuere necesario para alcanzar los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, son identificados como tales en esa descripción. Objetivos de control. El objetivo o propósito de controles especificados en la organización de servicios. Los objetivos de control tratan los riesgos que los controles tienen por objetivo mitigar. Controles en una organización de servicios. Las políticas y procedimientos en una organización de servicios que probablemente sean pertinentes al control interno de las entidades usuarias sobre el proceso de preparación y presentación de información financiera. Estas políticas y procedimientos son diseñados, implementados y documentados por la organización de servicios para proporcionar una seguridad razonable respecto al logro de los objetivos de control que son pertinentes a los servicios cubiertos por el informe del auditor de la organización de servicios. (Ver párrafo A5) Controles en una organización de sub-servicios. Las políticas y procedimientos en una organización de sub-servicios que probablemente sean pertinentes al control interno de las entidades usuarias de la organización de servicios sobre el proceso de preparación y presentación de información financiera. Estas políticas y procedimientos son diseñados, implementados y documentados por la organización de sub-servicios para proporcionar una seguridad razonable respecto al logro de los objetivos de control que son pertinentes a los servicios cubiertos por el informe del auditor de la organización de servicios. (Ver párrafo A6) Criterios. Las normas o parámetros utilizados para medir y presentar la materia a evaluar y contra los cuales el auditor de la organización de servicios evalúa tal materia. (Ver párrafo A6) Método inclusivo. El método de tratar los servicios proporcionados por una organización de sub-servicios mediante el cual la descripción por la Administración del sistema de la organización de servicios incluye una descripción de la naturaleza de los servicios proporcionados por la organización de sub-servicios como asimismo, los objetivos de los controles y controles relacionados pertinentes de la organización de sub-servicios. (Ver párrafos A7-A9) Función de auditoría interna. Los auditores internos de la organización de servicios y otros, por ejemplo, los miembros de un departamento de cumplimiento o de riesgo, quienes efectúan actividades similares a aquellas efectuadas por los auditores internos. (Ver párrafo A10) Informe sobre la descripción por la Administración del sistema de una organización de servicios y lo adecuado del diseño de los controles (referido en esta Sección como un informe Tipo 1). Un informe que comprende lo siguiente: a. La descripción por la Administración del sistema de la organización de servicios. b. Una afirmación escrita por la Administración de la organización de servicios respecto a si, en todos sus aspectos significativos y a base de criterios adecuados, i. la descripción por la Administración del sistema de la organización de servicios presenta razonablemente al sistema de la organización de servicios que fue diseñado e implementado a contar de una fecha especificada. ii. los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, fueron diseñados adecuadamente para lograr esos objetivos de control a la fecha especificada. c. Un informe de un auditor de una organización de servicios que exprese una opinión sobre los asuntos en (b)(i)–(b)(ii). Informe sobre la descripción por la Administración del sistema de una organización de servicios y de lo adecuado del diseño y de la efectividad operacional de los controles (referido en esta Sección como un informe Tipo 2). Un informe que comprende lo siguiente: a. La descripción por la Administración del sistema de la organización de servicios. b. Una afirmación escrita por la Administración de la organización de servicios respecto a si en todos los aspectos significativos y a base de criterios adecuados, i. la descripción por la Administración del sistema de la organización de servicios presenta razonablemente al sistema de la organización de servicios que fue diseñado e implementado durante todo el período especificado. ii. los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios fueron adecuadamente diseñados durante todo el período especificado para lograr esos objetivos de control. iii. los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, operaron con efectividad durante todo el período especificado para lograr esos objetivos de control. c. Un informe de un auditor de una organización de servicios que i. exprese una opinión sobre los asuntos en (b)(i) –(b) (ii) ii. incluye una descripción de las pruebas de controles y los resultados de los mismos. Auditor de una organización de servicios. Un profesional que informa sobre los controles en una organización de servicios. Organización de Servicios. Una organización o segmento de una organización que proporciona servicios a entidades usuarias, que probablemente serán pertinentes para el control interno sobre el proceso de preparación y presentación de información financiera por esas entidades usuarias. Afirmación por una organización de servicios. Una afirmación escrita respecto a los asuntos mencionados en la parte (b) de la definición del Informe sobre la descripción por la Administración del sistema de una organización de servicios y de lo adecuado del diseño y de la efectividad operacional de los controles, para el caso de un informe Tipo 2 y para un informe de Tipo 1, los asuntos mencionados en la parte (b) de la definición del Informe sobre la descripción por la Administración del sistema de una organización de servicios y de lo adecuado del diseño de los controles. Sistema de una organización de servicios. Las políticas y procedimientos diseñados, implementados y documentados por la Administración de la organización de servicios para proporcionar a las entidades usuarias con los servicios cubiertos por el informe del auditor de la organización de servicios. La descripción por la Administración del sistema de la organización de servicios identifica los servicios proporcionados, el período al cual se relaciona la descripción (o en el caso de un informe Tipo 1, la fecha a la cual se relaciona la descripción), los objetivos de control especificados por la Administración o por un tercero, la parte que especifica los objetivos de control (si no fueran especificados por la Administración) y los controles relacionados. (Ver párrafo A11) Organización de sub-servicios. Es una organización de servicios utilizada por otra organización de servicios para efectuar algunos de los servicios proporcionados a entidades usuarias que probablemente sean pertinentes al control interno de esas entidades usuarias sobre el proceso de preparación y presentación de información financiera. Pruebas de controles. Un procedimiento diseñado para evaluar la efectividad operacional de los controles para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios. Auditor de la entidad usuaria. Un auditor que audita e informa sobre los estados financieros de una entidad usuaria. Entidad usuaria. Una entidad que utiliza a una organización de servicios. Requerimientos La Administración y los Encargados del Gobierno Corporativo 8. Cuando esta Sección requiere que el auditor indague, solicite representaciones de, se comunique con o interactúe de otra manera con la Administración de la organización de servicios, el auditor de la organización de servicios debiera determinar cuál es la persona o personas apropiadas dentro de la Administración o de la estructura de gobierno corporativo de la organización de servicios con quiénes interactuar. Esto debiera incluir la consideración de quienes tienen las apropiadas responsabilidades por y el conocimiento de los asuntos respectivos. (Ver párrafo A12). Aceptación y Retención 9. Un auditor de una organización de servicios debiera aceptar y retener un trabajo para informar sobre los controles en una organización de servicios sólo si: (Ver párrafo A13) a. el auditor de la organización de servicios tiene las habilidades y la competencia para efectuar el trabajo. (Ver párrafos A14-A15) b. el conocimiento preliminar del auditor de la organización de servicios respecto a las circunstancias del trabajo indica que: i. los criterios a ser utilizados serán adecuados y estarán disponibles para las entidades usuarias determinadas y sus auditores; ii. el auditor de la organización de servicios tendrá acceso a suficiente y apropiada evidencia en la medida que fuere necesaria y iii. el alcance del trabajo y la descripción por la Administración del sistema de la organización de servicios no serán tan limitados que será improbable que sean de utilidad para las entidades usuarias y sus auditores. c. la Administración acepta los términos del trabajo reconociendo y aceptando su responsabilidad por lo siguiente: i. Preparar su descripción del sistema de la organización de servicios y su afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y de la afirmación. (Ver párrafo A16) ii. Tener una base razonable para su afirmación. (Ver párrafo A17) iii. Seleccionar los criterios a ser utilizados e indicarlos en la afirmación. iv. Especificar los objetivos de control, indicándolos en la descripción del sistema de la organización de servicios y, si los objetivos de control son especificados por ley, regulación o por otra parte (por ejemplo, por un grupo usuario o por un organismo profesional), identificar en la descripción a la parte que especifica los objetivos de control. v. Identificar los riesgos que amenazan el logro de los objetivos de control indicados en la descripción y diseñar, implementar y documentar los controles que están adecuadamente diseñados y operando con efectividad, para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción del sistema de la organización de servicios serán logrados. (Ver párrafo A18) vi. Proporcionar al auditor de la organización de servicios: (1) acceso a toda la información , tales como los registros y documentación, incluyendo los acuerdos a nivel de servicios de los cuales tiene conocimiento la Administración que sean pertinentes a la descripción del sistema de la organización de servicios y a la afirmación; (2) información adicional que pueda solicitar el auditor de la organización de servicios a la Administración con el propósito de su examen; (3) acceso sin restricciones al personal dentro de la organización de servicios de quien el auditor de la organización de servicios determine que sea necesario obtener evidencia pertinente al trabajo de éste y (4) representaciones escritas al término del trabajo. vii. Proporcionar una afirmación escrita que será incluida en o adjuntada a la descripción por la Administración del sistema de la organización de servicios y proporcionada a las entidades usuarias. 10. Si la Administración no va a proporcionar una afirmación escrita al auditor de la organización de servicios, éste no debiera pasar por alto el requerimiento de obtener una afirmación efectuando un trabajo como auditor de la organización de servicios de acuerdo con la Sección AT 101. (Ver párrafo A19) 11. El rehusar posteriormente por la Administración proporcionar una afirmación por escrito, representa una limitación al alcance y, en consecuencia, el auditor de la organización de servicios debiera retirarse del trabajo. Si una ley o regulación no permite que el auditor de la organización de servicios se retire del trabajo, éste debiera abstenerse de opinar. Solicitud para Cambiar el Alcance del Trabajo 12. Si la Administración solicita un cambio en el alcance del trabajo antes de terminarse el trabajo, el auditor de la organización de servicios debiera estar satisfecho, antes de aceptar el cambio, que exista una justificación razonable para el cambio. (Ver párrafos A20-A21) Evaluar lo Adecuado que son los Criterios 13. Como lo requiere el párrafo 23 de la Sección AT 101, el auditor de la organización de servicios debiera evaluar si la Administración ha utilizado criterios adecuados: a. al preparar su descripción del sistema de la organización de servicios; b. al evaluar si los controles fueron adecuadamente diseñados para lograr los objetivos de control indicados en la descripción y c. en el caso de un informe Tipo 2, al evaluar si los controles operaron con efectividad durante todo el período especificado para lograr los objetivos de control indicados en la descripción del sistema de la organización de servicios. 14. Al evaluar lo adecuado que son los criterios para evaluar si la descripción por la Administración del sistema de la organización de servicios está presentada razonablemente, el auditor de la organización de servicios debiera determinar si los criterios incluyen como mínimo: a. si la descripción del sistema de la organización de servicios efectuada por la Administración presenta como fue diseñado e implementado el sistema de la organización de servicios, incluyendo la siguiente información respecto a éste, si fuere aplicable: i. Los tipos de servicios proporcionados, incluyendo, si fuere apropiado, las clases de transacciones procesadas. ii. Los procedimientos, dentro de los sistemas automatizados y manuales, mediante los cuales son proporcionados los servicios, incluyendo, según fuere apropiado, procedimientos por los cuales las transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas si fuere necesario y traspasadas a los informes y otra información preparada por entidades usuarias. iii. Los registros contables relacionados, sean electrónicos o manuales y la información sustentatoria involucrada en iniciar, autorizar, registrar, procesar e informar transacciones. Esto incluye la corrección de información incorrecta y de cómo la información es traspasada a los informes y a otra información preparada para entidades usuarias. iv. Cómo el sistema de la organización de servicios capta y trata a los hechos y condiciones significativos distintos a las transacciones. v. El proceso utilizado para preparar informes y otra información para las entidades usuarias. vi. Los objetivos de control y los controles diseñados para alcanzar esos objetivos especificados incluyendo, cuando fuere aplicable, los controles complementarios de la entidad usuaria considerados en el diseño de los controles de la organización de servicios. vii. Otros aspectos del entorno de control de la organización de servicios, el proceso de evaluación de riesgos, sistemas de información y comunicación (incluyendo los procesos de negocios relacionados), actividades de control y el monitoreo de controles que son pertinentes a los servicios proporcionados. (Ver párrafos A17 y A24) b. en el caso de un informe Tipo 2, si la descripción por la Administración del sistema de la organización de servicios incluye detalles pertinentes de cambios en el sistema de la organización de servicios durante el período cubierto por la descripción (Ver párrafo A44) c. si la descripción por la Administración del sistema de la organización de servicios no omite o distorsiona información pertinente al sistema de la organización de servicios, a la vez reconociendo que la descripción por la Administración del sistema de la organización de servicios está preparada para cumplir con las necesidades normales de un amplio rango de entidades usuarias y sus auditores y, pueden, por lo tanto, no incluir todos los aspectos de un sistema de una organización de servicios que cada entidad usuaria individual y su auditor puedan considerar importantes para su propio entorno en particular. 15. Al evaluar lo adecuado que son los criterios para evaluar si los controles están diseñados adecuadamente, el auditor de la organización de servicios debiera determinar, como mínimo, si los criterios incluyen: a. si han sido identificados por la Administración los riesgos que amenazan el logro de los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios. b. si los controles identificados en la descripción por la Administración del sistema de la organización de servicios, de estar operando éste según la descripción, proporcionan una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción fueren alcanzados. 16. Al evaluar lo adecuado que son los criterios para evaluar si los controles operaron con efectividad para proporcionar una seguridad razonable que fueron logrados los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, el auditor de una organización de servicios debiera determinar si los criterios incluyen, como mínimo, si los controles fueron aplicados uniformemente de la forma en que fueron diseñados durante todo el período especificado, incluyendo si los controles manuales fueron aplicados por personas que tienen la competencia y autoridad apropiados. Importancia relativa 17. Al planificar y efectuar el trabajo, el auditor debiera evaluar la importancia relativa en relación con la presentación razonable de la descripción por la Administración del sistema de la organización de servicios, lo adecuado del diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción y, en el caso de un informe Tipo 2, la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. (Ver párrafos A25-A27) Obtener un Entendimiento del Sistema de la Organización de Servicios (Ver párrafos A28A30) 18. El auditor de una organización de servicios debiera obtener un entendimiento del sistema de la organización de servicios, incluyendo los controles que están incluidos en el alcance del trabajo. Obtener Evidencia Respecto a la Descripción por la Administración del Sistema de la Organización de Servicios (Ver párrafos A26 y A31-A35) 19. El auditor de una organización de servicios debiera obtener y leer la descripción por la Administración del sistema de la organización de servicios y debiera evaluar si esos aspectos de la descripción que están incluidos en el alcance del trabajo están razonablemente presentados, incluyendo si: a. los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios son razonables en las circunstancias (Ver párrafo A34) b. los controles identificados en la descripción por la Administración del sistema de la organización de servicios fueron implementados (Ver párrafo A35) c. los controles complementarios de la entidad usuaria, si hubieren, están adecuadamente descritos (Ver párrafo A32) d. los servicios efectuados por una organización de sub-servicios, si hubieren, están adecuadamente descritos, incluyendo si el método inclusivo o el método de exclusión ha sido utilizado en relación a ellos. 20. El auditor de una organización de servicios debiera determinar mediante indagaciones efectuadas en combinación con otros procedimientos si el sistema de la organización de servicios ha sido implementado. Tales otros procedimientos debieran incluir la observación e inspección de registros y de documentación de la manera en que el sistema de la organización de servicios opera y cómo son aplicados los controles. (Ver párrafo A35) Obtener Evidencia Respecto al Diseño de los Controles (Ver párrafos A26 y A36-A39) 21. El auditor de una organización de servicios debiera determinar cuáles controles en la organización de servicios son necesarios para lograr los objetivos de control indicados en la descripción por la Administración del sistema en la organización de servicios y debiera evaluar si esos controles fueron diseñados adecuadamente para lograr los objetivos de control: a. identificando los riesgos que amenazan el logro de los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios y (Ver párrafo A36) b. evaluando la conexión de esos riesgos con los controles identificados en la descripción por la Administración del sistema de la organización de servicios. Obtener Evidencia Relacionada con la Efectividad Operacional de los Controles (Ver párrafos A26 y A40-A45) Evaluar la Efectividad Operacional 22. Al efectuar un trabajo de Tipo 2, el auditor de una organización de servicios debiera efectuar pruebas de esos controles que el auditor de una organización de servicios ha determinado como necesarios para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios y debiera evaluar su efectividad operacional durante todo el período. La evidencia obtenida en trabajos anteriores respecto a la operación satisfactoria de los controles en períodos anteriores no proporciona una base para reducir las pruebas, aún cuando estén complementadas con evidencia obtenida durante el período actual. (Ver párrafos A40-A44) 23. Al efectuar un trabajo Tipo 2, el auditor de una organización de servicios debiera indagar respecto a cambios en los controles de la organización de servicios que fueron implementados durante el período cubierto por el informe del auditor de una organización de servicios. Si el auditor de una organización de servicios cree que los cambios serían considerados significativos por las entidades usuarias y sus auditores, el auditor de una organización de servicios debiera determinar si esos cambios están incluidos en la descripción por la Administración del sistema de la organización de servicios. Si tales cambios no están incluidos en la descripción, el auditor de una organización de servicios debiera describir los cambios en el informe del auditor de una organización de servicios y determinar el efecto sobre su informe. Si los controles reemplazados son pertinentes al logro de los objetivos de control indicados en la descripción, el auditor de una organización de servicios debiera, si fuere posible, efectuar pruebas de los controles reemplazados antes del momento de su cambio. Si el auditor de una organización de servicios no puede efectuar pruebas de los controles reemplazados pertinentes al logro de los objetivos de control indicados en la descripción, el auditor de una organización de servicios debiera determinar el efecto sobre su informe. (Ver párrafos A42(c) y A45) 24. Al diseñar y efectuar pruebas de los controles el auditor de una organización de servicios debiera: a. efectuar otros procedimientos en combinación con las indagaciones para obtener evidencia de lo siguiente: i. cómo fue aplicado el control. ii. la uniformidad con la cuál fue aplicado el control iii. por quién y por cuáles medios fue aplicado el control b. determinar si los controles a ser sometidos a pruebas dependen de otros controles y, si así fuere, si es necesario obtener evidencia que respalde la efectividad operacional de esos otros controles c. determinar un método efectivo para seleccionar las partidas a ser sometidas a pruebas para cumplir los objetivos del procedimiento. 25. Al determinar el alcance de las pruebas de los controles y si el muestreo es apropiado, el auditor de una organización de servicios debiera considerar las características del universo de los controles a ser sometido a pruebas, incluyendo la naturaleza de los controles, la frecuencia de su aplicación (por ejemplo, mensualmente, diariamente, varias veces al día) y la tasa esperada de desviación. La Sección AU 350 Muestreo en Auditoría, trata cómo planificar, efectuar y evaluar las muestras de auditoría. Si el auditor de una organización de servicios determina que el muestreo es apropiado, éste debiera aplicar los requerimientos de los párrafos 31-43 de la Sección AU 350, que tratan el muestreo en las pruebas de controles. Los párrafos 1-14 y 45-46 de la Sección AU 350 proporcionan guías adicionales respecto a los principios sobre los cuales están basados esos párrafos. Naturaleza y Causa de las Desviaciones 26. El auditor de una organización de servicios debiera investigar la naturaleza y la causa de cualquier desviación identificada y debiera determinar si: a. las desviaciones identificadas están dentro de la tasa esperada de desviación y son aceptables. Si fuere así, las pruebas que se han efectuado proporcionan una base apropiada para concluir que el control operó con efectividad durante todo el período especificado b. se requiere de pruebas adicionales del control o de los otros controles para llegar a una conclusión respecto a si los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios operó con efectividad durante todo el período especificado c. las pruebas que han sido efectuadas proporcionan una base apropiada para concluir que el control no operó con efectividad durante todo el período especificado. 27. Si, como resultado de efectuar los procedimientos del párrafo 26, el auditor de una organización de servicios toma conocimiento que cualquier desviación identificada ha resultado de actos intencionales por personal de la organización de servicios, el auditor de una organización de servicios debiera evaluar el riesgo que la descripción por la Administración del sistema de la organización de servicios no está presentada razonablemente, los controles no están adecuadamente diseñados y en un trabajo Tipo 2, los controles no están operando con efectividad. (Ver párrafo A31) Utilizar el Trabajo de la Función de Auditoría Interna Obtener un Entendimiento de la Función de Auditoría Interna (Ver párrafos A46-A47) 28. Si la organización de servicios tiene una función de auditoría interna, el auditor de la organización de servicios debiera obtener un entendimiento de la naturaleza de las responsabilidades de la función de auditoría interna y de las actividades efectuadas, a objeto de determinar si es probable que la función de auditoría interna sea pertinente al trabajo. Planificar el Uso de la Función de Auditoría Interna 29. Cuando el auditor de la organización de servicios tiene la intención de utilizar el trabajo de la función de auditoría interna, éste debiera determinar si es probable que el trabajo de la función de auditoría interna sea adecuado para los propósitos del trabajo, evaluando lo siguiente: a. La objetividad y competencia técnica de los miembros de la función de auditoría interna. b. Si es probable que el trabajo de la función de auditoría interna sea efectuado con debido cuidado profesional. c. Si es probable que tendrá lugar una comunicación efectiva entre la función de auditoría interna y el auditor de la organización de servicios, incluyendo la consideración del efecto de cualquier limitación o restricción sobre la función de auditoría interna por parte de la organización de servicios. 30. Si el auditor de la organización de servicios determina que el trabajo de la función de auditoría interna probablemente será adecuado para los propósitos del trabajo, al determinar el efecto planificado del trabajo de la función de auditoría interna sobre la naturaleza, oportunidad o alcance de los procedimientos del auditor de la organización de servicios, el auditor de la organización de servicios debiera evaluar lo siguiente: a. La naturaleza y alcance del trabajo específico efectuado o por efectuar, por la función de auditoría interna. b. La importancia de ese trabajo para las conclusiones del auditor de la organización de servicios. c. El grado de subjetividad involucrado en la evaluación de la evidencia obtenida para respaldar esas conclusiones. Utilizar el Trabajo de la Función de Auditoría Interna (Ver párrafo A48) 31. Para que el auditor de la organización de servicios utilice el trabajo específico de la función de auditoría interna, el auditor de la organización de servicios debiera evaluar y efectuar procedimientos sobre ese trabajo para determinar que sea adecuado para los propósitos del auditor de la organización de servicios. 32. Para determinar lo adecuado del trabajo específico efectuado por la función de auditoría interna para los propósitos del auditor de la organización de servicios, el auditor de la organización de servicios debiera evaluar si: a. el trabajo fue efectuado por miembros de la función de auditoría interna que tienen adecuado entrenamiento técnico y nivel de competencia b. el trabajo fue supervisado, revisado y documentado correctamente c. fue obtenida suficiente y apropiada evidencia para permitir a la función de auditoría interna obtener conclusiones razonables d. las conclusiones alcanzadas son apropiadas en las circunstancias y cualquier informe preparado por la función de auditoría interna es consecuente con los resultados del trabajo efectuado y e. las excepciones pertinentes al trabajo o los asuntos inusuales revelados por la función de auditoría interna han sido debidamente resueltos. Efectos Sobre el Informe del Auditor de la Organización de Servicios 33. Si el trabajo de la función de auditoría interna ha sido utilizado, el auditor de la organización de servicios no debiera hacer referencia a ese trabajo en su opinión. No obstante su grado de autonomía y objetividad, la función de auditoría interna no es independiente de la organización de servicios. El auditor de la organización de servicios tiene la responsabilidad única por la opinión expresada en su propio informe y, por lo tanto, esa responsabilidad no se reduce por el uso del trabajo de la función de auditoría interna por el auditor de la organización de servicios. (Ver párrafo A49) 34. En el caso de un informe Tipo 2, si el trabajo de la función de auditoría interna ha sido utilizado para efectuar pruebas de controles, esa parte del informe del auditor de la organización de servicios que describe sus propias pruebas de controles y los resultados obtenidos, debiera incluir una descripción del trabajo del auditor interno y de los procedimientos del auditor de la organización de servicios con ese trabajo. (Ver párrafo A50) Ayuda Directa 35. Cuando el auditor de la organización de servicios utiliza a miembros de la función de auditoría interna de la organización de servicios para proporcionar ayuda directa, el auditor de la organización de servicios debiera adaptar y aplicar los requerimientos del párrafo 27 de la Sección AU 322 La Consideración por el Auditor de la Función de Auditoría Interna en una Auditoría de Estados Financieros. Representaciones Escritas (Ver párrafos A51-A55) 36. El auditor de la organización de servicios debiera solicitar a la Administración que proporcione representaciones escritas que: a. reafirmen su afirmación incluida en o adjuntada a la descripción del sistema de la organización de servicios; b. ha proporcionado al auditor de la organización de servicios con toda la información pertinente y accesos acordados(1) y c. ha revelado al auditor de la organización de servicios cualquiera de los siguientes de los cuales tiene conocimiento: i. Instancias de incumplimiento con leyes, regulaciones o errores no corregidos atribuibles a la organización de servicios que puedan afectar a una o más entidades usuarias ii. Conocimiento de cualquier acto intencional por la Administración o por los empleados de la organización de servicios actuales, sospechados o presuntos, que podrían afectar adversamente a la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios o a la integridad o logro de los objetivos de control indicados en la descripción iii. Deficiencias de diseño en los controles iv. Instancias en que los controles no han operado como se ha descrito v. Cualquier hecho posterior al período cubierto por la descripción por la Administración del sistema de la organización de servicios hasta la fecha del informe del auditor de la organización de servicios que podría tener un efecto significativo sobre la afirmación de la Administración. 37. Si una organización de servicios utiliza a una organización de sub-servicios y la descripción por la Administración del sistema de la organización de servicios utiliza el método inclusivo, el auditor de la organización de servicios debiera obtener de la Administración de la organización de sub-servicios las representaciones escritas identificadas en el párrafo 36. 38. Las representaciones escritas debieran tener el formato de una carta de representación dirigida al auditor de la organización de servicios y debieran tener la misma fecha del informe del auditor de la organización de servicios. (1) Ver párrafo 9(c) (vi) (1). 39. Si la Administración no proporciona una o más representaciones escritas solicitadas por el auditor de la organización de servicios, este debiera hacer lo siguiente: a. Analizar el asunto con la Administración. b. Evaluar el efecto que tal negativa tiene sobre la evaluación del auditor de la organización de servicios respecto a la integridad de la Administración y evaluar el efecto que ello puede tener sobre la fiabilidad de las representaciones de la Administración y sobre la evidencia en general. c. Adoptar acciones apropiadas, que pueden incluir abstenerse de opinar o retirarse del trabajo. Si la Administración se rehúsa proporcionar las representaciones de los párrafos 36(a) – 36(b) de esta Sección, el auditor de la organización de servicios debiera abstenerse de opinar o retirarse del trabajo. Otra Información (Ver párrafos A56–A57) 40. El auditor de la organización de servicios debiera leer otra información, si hubiere, incluida en un documento incorporando la descripción por la Administración del sistema de la organización de servicios y el informe del auditor de la organización de servicios para identificar faltas de uniformidad significativas, si hubieren, con esa descripción. Mientras lea la otra información con el propósito de identificar faltas de uniformidad significativas, el auditor de la organización de servicios puede tomar conocimiento de una aparente representación incorrecta de hechos en la otra información. 41. Si el auditor de la organización de servicios toma conocimiento de una falta de uniformidad significativa o una aparente representación incorrecta de hechos en la otra información, el auditor de la organización de servicios debiera analizar el asunto con la Administración. Si el auditor de la organización de servicios concluye que existe una falta de uniformidad o una representación incorrecta de hechos en la otra información que la Administración se rehúsa a corregir, el auditor de la organización de servicios debiera tomar medidas adicionales apropiadas. (2) Hechos Posteriores 42. (2) El auditor de la organización de servicios debiera indagar respecto a si la Administración tiene conocimiento de cualquier hecho posterior al período cubierto por la descripción por la Administración del sistema de la organización de servicios hasta la fecha del informe del auditor de la organización de servicios que podría tener un efecto significativo sobre la afirmación de la Administración. Si el auditor de la organización de servicios toma conocimiento a través de indagaciones o de otro modo, de tal hecho, o de cualquier otro hecho que es de tal naturaleza e importancia que su revelación es necesaria para evitar que los usuarios de un informe Tipo 1 o Tipo 2 sean inducidos a error e información sobre ese hecho no es revelada por la Administración en su descripción, el auditor de la organización de servicios debiera revelar tal hecho en el informe del auditor de la organización de servicios. Ver párrafos 91 – 94 de la Sección AT 101 Trabajos de Atestiguación. 43. El auditor de la organización de servicios no tiene ninguna responsabilidad de mantenerse informado de hechos posteriores a la fecha del informe del auditor de la organización de servicios. Sin embargo, después de la emisión del informe del auditor de la organización de servicios, el auditor de la organización de servicios puede tomar conocimiento de condiciones que existían a la fecha del informe que podrían haber afectado a la afirmación de la Administración y al informe del auditor de la organización de servicios, si el auditor de la organización de servicios hubiere tenido conocimiento de ellos. La evaluación de tal información posterior es similar a la evaluación de información descubierta con posterioridad a la fecha de un informe de una auditoría de estados financieros, como se describe en la Sección AU 561 Descubrimiento Posterior de Hechos que Existían a la Fecha del Informe del Auditor y, por lo tanto, el auditor de la organización de servicios debiera adaptar y aplicar las guías en la Sección AU 561. Documentación (Ver párrafo A58) 44. El auditor de la organización de servicios debiera preparar documentación que sea suficiente para permitir que un auditor de la organización de servicios con experiencia, que no tenga contacto previo con el trabajo, entender lo siguiente: a. La naturaleza, oportunidad y alcance de los procedimientos efectuados para cumplir con esta Sección y con los requerimientos legales y regulatorios aplicables. b. Los resultados de los procedimientos efectuados y la evidencia obtenida. c. Hallazgos o asuntos significativos que surgen durante el trabajo, las conclusiones alcanzadas al respecto y los juicios profesionales significativos efectuados para alcanzar esas conclusiones. 45. Al documentar la naturaleza, oportunidad y alcance de los procedimientos efectuados, el auditor de la organización de servicios debiera registrar lo siguiente: a. Las características que identifican a las partidas o asuntos específicos que están siendo sujetos a pruebas. b. Quién efectuó el trabajo y la fecha en que éste fue terminado. c. Quién revisó el trabajo efectuado y la fecha y alcance de tal revisión. 46. Si el auditor de la organización de servicios utiliza trabajo especifico de la función de auditoría interna, el auditor de la organización de servicios debiera documentar las conclusiones alcanzadas respeto a la evaluación de la adecuacidad del trabajo de la función de auditoría interna y los procedimientos del auditor de la organización de servicios sobre ese trabajo. 47. El auditor de la organización de servicios debiera documentar las reuniones de análisis con la Administración y con otros, respecto a hallazgos o asuntos significativos y de cuándo, adonde y con quién se efectuaron. 48. Si el auditor de la organización de servicios ha identificado información que no es consecuente con la conclusión final del auditor de la organización de servicios respecto a un hallazgo o asunto importante, el auditor de la organización de servicios debiera documentar como éste trató la falta de consecuencia. 49. El auditor de la organización de servicios debiera reunir la documentación del trabajo en un archivo de trabajo y completar el proceso administrativo de preparar el archivo final del trabajo oportunamente, no más allá de 60 días después de la fecha en que fue emitido el informe del auditor de la organización de servicios. 50. Después de completar la confección del archivo de trabajo final, el auditor de la organización de servicios no debiera eliminar o desechar documentación antes que finalice su período de retención. 51. Si el auditor de la organización de servicios considera necesario modificar la documentación del trabajo o agregar documentación nueva después de haber preparado el archivo final del trabajo, el auditor de la organización de servicios debiera, sin tomar en consideración la naturaleza de las modificaciones o incorporaciones, documentar lo siguiente: a. Las razones específicas por hacerlo. b. Cuándo y por quién fueron efectuados y revisados. Preparar el Informe del Auditor de la Organización de Servicios Contenido del Informe del Auditor de la Organización de Servicios (Ver párrafo A59) 52. Un informe de Tipo 2 de un auditor de una organización de servicios debiera incluir los siguientes elementos: a. Un título que incluya la palabra independiente. b. Una dirección. c. Identificación de: i. la descripción por la Administración del sistema de la organización de servicios y de la función efectuada por el sistema. ii. cualquier parte de la descripción por la Administración del sistema de la organización de servicios que no esté cubierta por el informe del auditor de la organización de servicios (Ver párrafo A56). iii. cualquier información incluida en un documento que incorpora el informe del auditor de la organización de servicios que no está cubierta por el informe del auditor de la organización de servicios (Ver párrafo A56). iv. los criterios. v. cualquier servicio efectuado por una organización de sub-servicios y respecto a si el método de exclusión o el método inclusivo fueron utilizados en éstos. Dependiendo de cuál método es utilizado, lo siguiente debiera ser incluido: (1) Si fue utilizado el método de exclusión, una declaración que la descripción por la Administración del sistema de la organización de servicios excluye los objetivos de control y controles relacionados en las pertinentes organizaciones de sub-servicios y que los procedimientos del auditor de la organización de servicios no incluyen a la organización de sub-servicios. (2) Si fue utilizado el método inclusivo, una declaración que la descripción por la Administración del sistema de la organización de servicios incluye los objetivos de control especificados y controles relacionados en la organización de sub-servicios y que los procedimientos del auditor de la organización de servicios incluyeron los procedimientos relacionados con la organización de sub-servicios. d. Si la descripción por la Administración del sistema de la organización de servicios se refiere a la necesidad de controles complementarios en la entidad usuaria, una declaración que el auditor de la organización de servicios no ha evaluado lo adecuado que es el diseño o la efectividad operacional de los controles complementarios en la entidad usuaria y que los objetivos de control indicados en la descripción sólo pueden ser logrados si los controles complementarios en la entidad usuaria están adecuadamente diseñados y operando con efectividad, junto con los controles en la organización de servicios. e. Una referencia a la afirmación de la Administración y una declaración que la Administración es responsable por (Ver párrafo A60) i. preparar la descripción del sistema de la organización de servicios y por la afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y de la afirmación; ii. proporcionar los servicios cubiertos por la descripción del sistema de la organización de servicios; iii. especificar los objetivos de control, a menos que los objetivos de control estén especificados por ley, regulación o por otra parte, e indicándolos en la descripción del sistema de la organización de servicios; iv. identificar los riesgos que amenazan el logro de los objetivos de control; v. seleccionar los criterios y vi. diseñar, implementar y documentar los controles que están diseñados adecuadamente y operando con efectividad para lograr los objetivos de control relacionados indicados en la descripción del sistema de la organización de servicios. f. Una declaración que la responsabilidad del auditor de la organización de servicios es expresar una opinión sobre la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios y sobre lo adecuado que son el diseño y la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción, a base del examen del auditor de la organización de servicios. g. Una declaración que el examen fue efectuado de acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile A.G. y que esas normas requieren que el auditor de la organización de servicios planifique y efectúe el examen para obtener una seguridad razonable respecto a si la descripción por la Administración del sistema de la organización de servicios está presentada razonablemente y que los controles están adecuadamente diseñados y operaron con efectividad durante todo el período especificado para lograr los objetivos de control relacionados. h. Una declaración que un examen de la descripción por la Administración del sistema de una organización de servicios y lo adecuado del diseño y de la efectividad operacional de los controles de la organización de servicios para lograr los objetivos de control relacionados indicados en la descripción, involucra efectuar procedimientos para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño y de la efectividad operacional de esos controles para lograr los objetivos de control relacionados indicados en la descripción. i. Una declaración que el examen incluyó evaluar los riesgos que la descripción por la Administración del sistema de la organización de servicios no está presentada razonablemente y que los controles no están adecuadamente diseñados ni operando con efectividad para lograr los objetivos de control relacionados. j. Una declaración que el examen también incluyó efectuar pruebas de la efectividad operacional de esos controles que el auditor de la organización de servicios considera necesarios para proporcionar una seguridad razonable que los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios fueron logrados. k. Una declaración que un examen de este tipo también incluye evaluar la presentación general de la descripción por la Administración del sistema de la organización de servicios y de lo adecuados que son los objetivos de control indicados en la descripción. l. Una declaración que el auditor de la organización de servicios considera que el examen proporciona una base razonable para su opinión. m. Una declaración respecto a las limitaciones inherentes de los controles, incluyendo el riesgo de proyectar a períodos futuros cualquier evaluación de la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios, o conclusiones respecto a lo adecuado del diseño y de la efectividad operacional de los controles. n. La opinión del auditor de la organización de servicios respecto a si, en todos los aspectos significativos, a base de los criterios descritos en la afirmación de la Administración, i. la descripción por la Administración del sistema de la organización de servicios, presenta razonablemente el sistema de la organización de servicios que fue diseñado e implementado durante todo el período especificado. ii. los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios fueron adecuadamente diseñados para proporcionar una seguridad razonable que esos objetivos de control serían logrados si los controles operaron con efectividad durante todo el período especificado. iii. los controles que el auditor de la organización de servicios sometió a pruebas, los cuales fueron los necesarios para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios fueron logrados y operaron con efectividad durante todo el período especificado. iv. si la aplicación de controles complementarios en la entidad usuaria es necesaria para lograr los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios, una referencia a esta condición. o. Una referencia a una descripción de las pruebas de controles por el auditor de la organización de servicios y los resultados obtenidos que incluya: i. identificación de los controles que fueron sometidos a pruebas, de si las partidas sometidas a pruebas representan a todas o a una selección de las partidas en el universo y la naturaleza de las pruebas en suficiente detalle para permitir a los auditores de la entidad usuaria determinar el efecto de tales pruebas sobre sus evaluaciones de riesgos. (Ver párrafo A50) ii. si han sido identificadas desviaciones en la operación de los controles incluidos en la descripción, el alcance de las pruebas efectuadas por el auditor de la organización de servicios que resultó en la identificación de las desviaciones (incluyendo el número de partidas sometidas a prueba) y el número y la naturaleza de las desviaciones detectadas (aún cuando si, a base de las pruebas efectuadas, el auditor de la organización de servicios concluye que el objetivo de control relacionado fue logrado.(Ver párrafo A65) p. Una declaración restringiendo el uso del informe del auditor de la organización de servicios a la Administración de la organización de servicios, entidades usuarias del sistema de la organización de servicios durante parte o todo el período cubierto por el informe del auditor de la organización de servicios y los auditores independientes de tales entidades usuarias. (Ver párrafos A61 – A64) q. La fecha del informe del auditor de la organización de servicios. r. El nombre del auditor de la organización de servicios y la ciudad y región en la cual el auditor de la organización de servicios tiene la oficina que tiene la responsabilidad por el trabajo. 53. Un informe Tipo 1 de un auditor de la organización de servicios debiera incluir los siguientes elementos: a. Un titulo que incluya la palabra independiente. b. El nombre a quien va dirigido. c. Identificación de: i. la descripción por la Administración del sistema de la organización de servicios preparada por la Administración y la función desempeñada por el sistema. ii. cualquier parte de la descripción por la Administración del sistema de la organización de servicios que no está cubierta por el informe del auditor de la organización de servicios (Ver párrafo A56). iii. cualquier información incluida en un documento que incorpora al informe del auditor de la organización de servicios que no está cubierto por el informe del auditor de la organización de servicios (Ver párrafo A56). iv. los criterios v. cualquier servicio efectuado por una organización de sub-servicios y si el método de exclusión o el método inclusivo fueron utilizados al respecto. Dependiendo de cual método es utilizado, lo siguiente debiera ser incluido: (1) Si se utilizó el método de exclusión, una declaración que la descripción por la Administración del sistema de la organización de servicios excluye los objetivos de control y controles relacionados en la organización de sub-servicios y que los procedimientos del auditor de la organización de servicios no cubren a la organización de sub-servicios. (2) Si se utilizó el método inclusivo, una declaración que la descripción por la Administración del sistema de la organización de servicios incluye a los objetivos de control y controles relacionados especificados de la organización de sub-servicios y que los procedimientos del auditor de la organización de servicios incluyeron procedimientos relacionados con la organización de sub-servicios. d. Si la descripción por la Administración del sistema de la organización de servicios se refiere a la necesidad de controles complementarios en la entidad usuaria, una declaración que el auditor de la organización de servicios no ha evaluado lo adecuado que son el diseño o la efectividad operacional de los controles complementarios en la entidad usuaria y que los objetivos de control indicados en la descripción sólo pueden ser logrados si los controles complementarios en la entidad usuaria están diseñados adecuadamente y operando con efectividad, junto con los controles en la organización de servicios. e. Una referencia a la afirmación de la Administración y una declaración que la Administración es responsable por: (Ver párrafo A60) i. preparar la descripción del sistema de la organización de servicios y la afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y la afirmación; ii. proporcionar los servicios cubiertos por la descripción del sistema de la organización de servicios; iii. especificar los objetivos de control, a menos que los objetivos de control están especificados por ley, regulación u otra parte, e indicándolos en la descripción del sistema de la organización de servicios iv. identificar los riesgos que amenazan al logro de los objetivos de control v. seleccionar los criterios y vi. diseñar, implementar y documentar los controles que están diseñados adecuadamente y operando con efectividad para lograr los objetivos de control relacionados indicados en la descripción del sistema de la organización de servicios. f. Una declaración que la responsabilidad del auditor de la organización de servicios es expresar una opinión sobre la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios y sobre lo adecuado del diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción, a base del examen del auditor de la organización de servicios. g. Una declaración que el examen fue efectuado de acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile A.G. y que esas normas requieren que el auditor de la organización de servicios planifique y efectúe el examen para obtener una seguridad razonable respecto a si la descripción por la Administración del sistema de la organización de servicios está presentada razonablemente y los controles están adecuadamente diseñados a la fecha especificada para lograr los objetivos de control relacionados. h. Una declaración que el auditor de la organización de servicios no ha efectuado ningún procedimiento relacionado con la efectividad operacional de los controles y, por lo tanto, no expresa una opinión al respecto. i. Una declaración que un examen de la descripción por la Administración del sistema de la organización de servicios y de lo adecuado del diseño de los controles de la organización de servicios para lograr los objetivos de control relacionados indicados en la descripción, involucra efectuar procedimientos para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño de esos controles para lograr los objetivos de control relacionados indicados en la descripción. j. Una declaración que el examen incluyó evaluar los riesgos que la descripción por la Administración del sistema de la organización de servicios no se presenta razonablemente y que los controles no fueron adecuadamente diseñados para lograr los objetivos de control relacionados. k. Una declaración que un examen de este tipo también incluye evaluar la presentación general de la descripción por la Administración del sistema de la organización de servicios y de lo adecuado de los objetivos de control indicados en la descripción. l. Una declaración que el auditor de la organización de servicios considera que el examen proporciona una base razonable para su opinión. m. Una declaración respecto a las inherentes limitaciones de los controles, incluyendo el riesgo de proyectar a períodos futuros cualquier evaluación de la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios, o conclusiones respecto a lo adecuado del diseño de los controles para lograr los objetivos de control relacionados. n. La opinión del auditor de la organización de servicios respecto a si, en todos los aspectos significativos, a base de los criterios descritos en la afirmación de la Administración, i. la descripción por la Administración del sistema de la organización de servicios presenta razonablemente el sistema de la organización de servicios que fue diseñado e implementado a la fecha especificada ii. los controles relacionados con los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios fueron diseñados adecuadamente para proporcionar una seguridad razonable que esos objetivos de control serían logrados si los controles operaban con efectividad a la fecha especificada iii. si la aplicación de controles complementarios en la entidad usuaria es necesaria para lograr los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios, una referencia a esta condición. o. Una declaración restringiendo el uso del informe del auditor de la organización de servicios a la Administración de la organización de servicios, entidades usuarias del sistema de la organización de servicios al final del período cubierto por el informe del auditor de la organización de servicios y los auditores independientes de tales entidades usuarias. (Ver párrafos A61-A64) p. La fecha del informe del auditor de la organización de servicios. q. El nombre del auditor de la organización de servicios y la ciudad y región donde el auditor de la organización de servicios tiene la oficina responsable por el trabajo. Fecha del Informe 54. El auditor de la organización de servicios debiera fechar su informe no antes que la fecha en que ha obtenido suficiente y apropiada evidencia para respaldar su opinión. Opiniones modificadas (Ver párrafo A66) 55. La opinión del auditor de la organización de servicios debiera ser modificada y el informe del auditor de la organización de servicios debiera incluir una clara descripción de todas las razones por la modificación, si el auditor de la organización de servicios concluye que: a. la descripción por la Administración del sistema de la organización de servicios no se presenta razonablemente, en todos sus aspectos significativos; b. los controles no están adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios sería logrado si los controles operaran según lo descrito; c. en el caso de un informe Tipo 2, los controles no operaron con efectividad durante todo el período especificado para lograr los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios, o d. el auditor de la organización de servicios no puede obtener suficiente y apropiada evidencia. 56. Si el auditor de la organización de servicios tiene la intención de abstenerse de opinar debido a que no puede obtener suficiente y apropiada evidencia y, a base de procedimientos limitados efectuados, ha concluido que: a. ciertos aspectos de la descripción por la Administración del sistema de la organización de servicios no están presentados razonablemente, en todos sus aspectos significativos; b. ciertos controles no fueron adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios serían logrados si los controles operaran como se describe, o c. en el caso de un informe Tipo 2, ciertos controles no operaron con efectividad durante todo el período especificado para lograr los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios el auditor de la organización de servicios debiera identificar estos hallazgos en su informe. 57. Si el auditor de la organización de servicios tiene la intención de abstenerse de opinar, el auditor de la organización de servicios no debiera identificar los procedimientos que fueron efectuados ni incluir declaraciones describiendo las características de un trabajo de un auditor de la organización de servicios en su informe, pues hacerlo podría restar importancia a la abstención de opinión. Otras Responsabilidades de Comunicación 58. Si el auditor de la organización de servicios toma conocimiento de instancias de incumplimiento con leyes y regulaciones, fraudes o errores no corregidos atribuibles a la Administración o al personal de otras organizaciones de servicios que claramente no son insignificantes y que puedan afectar a una o más entidades usuarias, el auditor de la organización de servicios debiera determinar el efecto de tales instancias sobre la descripción por la Administración del sistema de la organización de servicios, el logro de los objetivos de control y el informe del auditor de la organización de servicios. Además, el auditor de la organización de servicios debiera determinar si esta información ha sido comunicada apropiadamente a las entidades usuarias afectadas. Si la información no ha sido comunicada de esta manera y la Administración de la organización de servicios no quiere hacerlo, el auditor de la organización de servicios debiera tomar acción apropiada. (Ver párrafo A67) *** Guía de Aplicación y Otro Material Explicativo Alcance de esta Sección A1. El control interno es un proceso diseñado para proporcionar una seguridad razonable respecto al logro de objetivos relacionados con la fiabilidad del proceso de preparación y presentación de información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento con las leyes y regulaciones aplicables. Los controles relacionados con las operaciones y los objetivos de cumplimiento en una organización de servicios pueden ser pertinentes al control interno de una entidad usuaria sobre el proceso de preparación y presentación de información financiera. Tales controles pueden corresponder a afirmaciones respecto a la presentación y revelación de saldos de cuentas, clases de transacciones o revelaciones, o pueden corresponder a evidencia que el auditor de la entidad usuaria evalúa o utiliza al aplicar los procedimientos de auditoría. Por ejemplo, los controles sobre el procesamiento de remuneraciones de una organización de servicios relacionados con el oportuno pago a los organismos previsionales y al Fisco pueden ser pertinentes para la entidad usuaria debido a que los atrasos pueden incurrir en intereses y multas que resultarían en un pasivo para la entidad usuaria. Igualmente, los controles de una organización de servicios sobre la aceptabilidad de transacciones por inversiones desde un punto de vista regulatorio pueden ser considerados pertinentes para la presentación y revelación de transacciones y saldos de cuentas en los estados financieros de la entidad usuaria. (Ver párrafo 1) A2. El párrafo 2 de esta Sección se refiere a otros trabajos que puede efectuar e informar el profesional de acuerdo con la Sección AT 101, para informar sobre los controles en una organización de servicios. El párrafo 2, sin embargo, no tiene por objetivo permitir que se alteren las definiciones del párrafo 7 de una organización de servicios o del sistema de una organización de servicios de permitir que informes emitidos de acuerdo con esta Sección incluyan en la descripción del sistema de la organización de servicios aspectos de sus servicios (incluyendo objetivos de control y controles relacionados pertinentes) que no es probable sean pertinentes para el control interno de las entidades usuarias sobre el proceso de preparación y presentación de información financiera, o permitir que sea emitido un informe que combine informar de acuerdo con esta Sección sobre los controles de una organización de servicios que probablemente sean pertinentes al control interno de las entidades usuarias sobre el proceso de preparación y presentación de información financiera, con informar de acuerdo con la Sección AT 101 sobre controles que probablemente no sean pertinentes al control interno de entidades usuarias sobre el proceso de preparación y presentación de información financiera. (Ver párrafo 2(a)) A3. Cuando un auditor de la organización de servicios efectúa un trabajo de acuerdo con la Sección AT 101 para informar sobre los controles en una organización de servicios distintos a aquellos controles que probablemente sean pertinentes al control interno de entidades usuarias sobre el proceso de preparación y presentación de información financiera y el auditor de la organización de servicios tiene la intención de utilizar las guías de esta Sección al planificar y efectuar ese trabajo, el auditor de la organización de servicios puede enfrentar asuntos que difieren significativamente de aquellos asociados con trabajos para informar sobre los controles de una organización de servicios que probablemente sean pertinentes al control interno de entidades usuarias sobre el proceso de preparación y presentación de información financiera. Por ejemplo: identificación de criterios adecuados y disponibles, como lo recomiendan los párrafos 23-34 de la Sección AT 101, para evaluar la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios y de lo adecuado del diseño y de la efectividad operacional de los controles identificación de objetivos de control apropiados y la base para evaluar la razonabilidad de los objetivos de control en las circunstancias del trabajo específico identificación de los usuarios para quienes se prepara el informe y la manera en que tienen la intención de utilizar el informe pertinencia y lo apropiado que son las definiciones del párrafo 7 de esta Sección, muchas de las cuales se relacionan específicamente con el control interno sobre el proceso de preparación y presentación de información financiera aplicación de referencias a normas de auditoría (Secciones AU) que tienen por propósito proporcionar al auditor de organizaciones de servicios con guías pertinentes al control interno sobre el proceso de preparación y presentación de información financiera aplicación del concepto de importancia relativa en las circunstancias del trabajo específico desarrollar el lenguaje a ser utilizado en el informe del profesional, incluyendo considerar los párrafos 84-87 de la Sección AT 101, los cuales identifican los elementos a ser incluidos en un informe de examen. (Ver párrafo 2(a)) A4. Cuando la Administración de la organización de servicios no es responsable por el diseño del sistema, es improbable que la Administración de la organización de servicios esté en condiciones de afirmar que el sistema está adecuadamente diseñado. Los controles no pueden operar con efectividad a menos que estén diseñados adecuadamente. Debido al vínculo indisoluble entre lo adecuado del diseño y su efectividad operacional, la falta de una afirmación respecto a lo adecuado que es el diseño probablemente impedirá que el auditor de la organización de servicios opine respecto a la efectividad operacional de los controles. Como una alternativa, el profesional puede efectuar pruebas de los controles en, ya sea un trabajo de acuerdo con procedimientos acordados de acuerdo con la Sección AT 201 Trabajos de Acuerdo con Procedimientos Acordados, o un examen de la efectividad operacional de los controles, de acuerdo con la Sección AT 101. (Ver párrafo 2(b)) Definiciones Controles en una Organización de Servicios (Ver párrafo 7) A5. Las políticas y procedimientos mencionados en la definición de controles en una organización de servicios en el párrafo 7 incluyen aspectos de los sistemas de información mantenidos por la organización de servicios y también puede incluir aspectos de uno o más de los otros componentes del control interno en una organización de servicios. Por ejemplo, la definición de controles en una organización de servicios puede incluir aspectos del entorno de control, monitoreo y actividades de control de la organización de servicios cuando se relacionan con los servicios proporcionados. Tal definición, sin embargo, no incluye los controles en una organización de servicios cuando están relacionados con el logro de los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, por ejemplo, los controles relacionados con los propios estados financieros de la organización de servicios. Criterios (Ver párrafos 7 y 14-16) A6. Para los propósitos de trabajos efectuados de acuerdo con esta Sección, se necesita que estén disponibles criterios para las entidades usuarias y sus auditores para permitirles entender la base para la afirmación de la organización de servicios respecto a la presentación razonable de la descripción por la Administración del sistema de la organización de servicios, lo adecuado del diseño de los controles que tratan los objetivos de control indicados en la descripción del sistema y, en el caso de informes Tipo 2, la efectividad operacional de tales controles. La información sobre criterios adecuados es proporcionada en los párrafos 23-34 de la Sección AT 101. Los párrafos 14-16 de esta Sección analizan los criterios para evaluar la razonabilidad de la presentación de la descripción por la Administración del sistema de la organización de servicios y lo adecuado del diseño y de la efectividad operacional de los controles. Método Inclusivo (Ver párrafo 7) A7. Como se indica en la definición del método inclusivo en el párrafo 7, una organización de servicios que utiliza una organización de sub-servicios presenta la descripción por la Administración del sistema de la organización de servicios para incluir una descripción de los servicios proporcionados por la organización de sub-servicios como asimismo los objetivos de control y controles relacionados pertinentes de la organización de subservicios. Cuando es utilizado el método inclusivo, los requerimientos de esta Sección también son aplicables a los servicios proporcionados por la organización de sub-servicios, incluyendo el requerimiento de obtener el reconocimiento y aceptación por la Administración de los asuntos del párrafo 9(c) (i)-(vii) en lo relacionado con la organización de sub-servicios. A8. Efectuar procedimientos en la organización de sub-servicios implica coordinación y comunicación entre la organización de servicios, la organización de sub-servicios y el auditor de la organización de servicios. El método inclusivo generalmente es viable si, por ejemplo, la organización de servicios y la organización de sub-servicios están relacionados, o si el contrato entre la organización de servicios y la organización de sub-servicios contempla la emisión de un informe por el auditor de la organización de servicios. Si el auditor de la organización de servicios no puede obtener una afirmación de la organización de sub-servicios respecto a la descripción proporcionada por la Administración del sistema de la organización de servicios, incluyendo los objetivos de control y controles relacionados pertinentes en la organización de sub-servicios, el auditor de la organización de servicios no está en condiciones de utilizar el método inclusivo, pero puede, en vez de ello, utilizar el método de exclusión. A9. Pueden existir instancias cuando los controles de la organización de servicios, tales como los controles de monitoreo, permiten a la organización de servicios incluir en su afirmación los aspectos pertinentes del sistema de la organización de sub-servicios, incluyendo los objetivos de control y controles relacionados pertinentes de la organización de subservicios. En tales instancias, el auditor de la organización de servicios está basando su opinión únicamente sobre los controles en la organización de servicios y, por lo tanto, el método inclusivo no es aplicable. Función de Auditoría Interna (Ver párrafo 7) A10. Los “otros” mencionados en la definición de la función de auditoría interna pueden ser personas que efectúan actividades similares a las efectuadas por auditores internos e incluyen a personal de la organización de servicios (además de los auditores internos) y terceros trabajando directamente bajo la dirección de la Administración o de los encargados del Gobierno Corporativo. Sistema de las Organizaciones de Servicios (Ver párrafo 7) A11. Las políticas y procedimientos mencionados en la definición del sistema de las organizaciones de servicios se refieren a las guías y actividades para proporcionar el procesamiento de transacciones y otros servicios a entidades usuarias e incluyen la infraestructura, programas computacionales e información que respalda las políticas y procedimientos. La Administración y los Encargados del Gobierno Corporativo (Ver párrafo 8) A12. Las estructuras de Administración y de Gobierno Corporativo varían entre entidades, reflejando influencias tales como características de tamaño y de propiedad. Tal diversidad significa que no es posible que esta Sección especifique para todos los trabajos las personas con quien el auditor de la organización de servicios interactuará respecto a asuntos específicos. Por ejemplo, la organización de servicios puede ser un segmento de una organización y no una entidad legal separada. En tales casos, identificar al personal apropiado de la Administración o de los encargados del Gobierno Corporativo a quienes solicitar representaciones escritas puede requerir de la aplicación de juicio profesional. Aceptación y Retención A13. Si una o más de las condiciones del párrafo 9 no se cumplen y el auditor de la organización de servicios de todos modos es requerido por ley o por regulación de continuar un trabajo sobre los controles en una organización de servicios, se requiere que el auditor de la organización de servicios, de acuerdo con los requerimientos en los párrafos 55-56, determine el efecto sobre su informe de una o más de tales condiciones que no se cumplan. (Ver párrafo 9) Habilidades y Competencia para Efectuar el Trabajo (Ver párrafo 9(a)) A14. Las habilidades y competencia para efectuar el trabajo incluyen asuntos tales como los siguientes: Conocimiento de la industria Un entendimiento de tecnología de la información y de sistemas Experiencia en evaluar riesgos relacionados con el diseño adecuado de controles Experiencia en el diseño y ejecución de pruebas de controles y en la evaluación de los resultados. A15. Al efectuar un trabajo de auditor de la organización de servicios, el auditor de la organización de servicios no necesita ser independiente de cada entidad usuaria. (Ver párrafo 9(a)) Responsabilidad de la Administración por Documentar el Sistema de la Organización de Servicios (Ver párrafo 9(c)(i)) A16. La Administración de la organización de servicios es responsable por documentar el sistema de ésta. No se recomienda ninguna forma particular de documentación y la cantidad de información puede variar dependiendo del tamaño y de la complejidad de la organización de servicios y de sus actividades de monitoreo. Base Razonable para la Afirmación de la Administración (Ver párrafo 7, definición del sistema de la organización de servicios; párrafos 9(c)(ii) y 14(a)(vii)) A17. Las actividades de monitoreo de la Administración pueden proporcionar evidencia del diseño y de la efectividad operacional de los controles que respaldan la afirmación de la Administración. El monitoreo de controles es un proceso para evaluar la efectividad del desempeño del control interno a través del tiempo. Implica evaluar la efectividad de los controles en forma oportuna, identificando e informando las deficiencias a las personas apropiadas dentro de la organización de servicios y tomando las acciones correctivas necesarias. La Administración logra el monitoreo de controles mediante actividades permanentes, evaluaciones independientes o por una combinación de ambas. Las actividades de monitoreo permanentes están a menudo incorporadas dentro de las actividades recurrentes normales de una entidad, e incluyen actividades permanentes de administración y de supervisión. Los auditores internos y personas que efectúan funciones similares pueden contribuir al monitoreo de las actividades de una organización de servicios. Las actividades de monitoreo pueden también incluir la utilización de información informada a partes externas, tales como reclamos de clientes y comentarios por un organismo regulador, que pueden indicar problemas o llamar la atención a áreas que necesitan ser mejoradas. Mientras mayor sea el grado y efectividad del monitoreo permanente, menor será la necesidad de efectuar evaluaciones independientes. Normalmente, alguna combinación de monitoreo permanente y evaluaciones independientes asegurarán que el control interno mantenga su efectividad a través del tiempo. El informe del auditor de la organización de servicios sobre los controles no es un sustituto de los propios procedimientos de la organización de servicios para proporcionar una base razonable para su afirmación. Identificación de Riesgos (Ver párrafo 9(c)(v)) A18. Los objetivos de control están relacionados con riesgos que los controles procuran mitigar. Por ejemplo, el riesgo que una transacción esté registrada por un monto equivocado o en un período equivocado, puede ser expresado como un objetivo de control que las transacciones sean registradas a su monto correcto y en el período correcto. La Administración es responsable por identificar los riesgos que amenazan el logro de los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios. La Administración puede tener un proceso formal o informal para identificar los riesgos pertinentes. Un proceso formal puede incluir estimar la importancia de los riesgos identificados, evaluar la probabilidad de su ocurrencia y decidir sobre las acciones para tratarlos. Sin embargo, debido a que los objetivos de control se relacionan con riesgos que los controles procuran mitigar, la cuidadosa identificación por la Administración de los objetivos de control en el momento de diseñar, implementar y documentar el sistema de la organización de servicios, puede por sí mismo representar un proceso informal para identificar los riesgos pertinentes. Rehusar Proporcionar una Afirmación Escrita por parte de la Administración A19. Un cambio reciente en la Administración de una organización de servicios o la designación de un auditor de la organización de servicios por una parte distinta a la Administración, son ejemplos de situaciones que pueden resultar en que la Administración no desee proporcionar al auditor de la organización de servicios con una afirmación escrita. Sin embargo, otros miembros de la Administración pueden estar en la posición de y aceptarán, firmar la afirmación para que el auditor de la organización de servicios pueda cumplir con el requerimiento del párrafo 9(c)(vii). (Ver párrafo 10) Solicitud para Cambiar el Alcance del Trabajo (Ver párrafo 12) A20. Una solicitud para cambiar el alcance del trabajo puede no tener una justificación razonable si, por ejemplo, la solicitud es efectuada: para excluir ciertos objetivos de control en la organización de servicios del alcance del trabajo debido a la probabilidad que la opinión del auditor de la organización de servicios sería modificada en relación con esos objetivos de control para evitar la revelación de desviaciones identificadas en una organización de subservicios al solicitar un cambio desde el método inclusivo al método de exclusión. A21. Una solicitud para cambiar el alcance de un trabajo puede tener una justificación razonable cuando, por ejemplo, la solicitud es efectuada para excluir del trabajo a una organización de sub-servicios debido a que ésta no puede organizar el acceso por el auditor de la organización de servicios y el método utilizado para enfocar los servicios contemplan que la organización de sub-servicios es cambiado desde el método inclusivo al método de exclusión. Evaluar lo Adecuado de los Criterios (Ver párrafos 13-16) A22. La Sección AT 101 requiere que un profesional entre otras cosas, determine si la materia a evaluar es evaluable contra criterios que son adecuados y disponibles para usuarios. Como se indica en el párrafo 27 de la Sección AT 101, sin tomar en consideración quién establece o desarrolla los criterios, la Administración es responsable por seleccionar los criterios y para determinar si los criterios son apropiados. La materia a evaluar, es la condición subyacente de interés para los usuarios para quienes se prepara un informe de atestiguación. La siguiente tabla identifica la materia a evaluar y los criterios mínimos para cada una de las opiniones en informes Tipo 1 y Tipo 2: Opinión sobre la presentación razonable de la descripción por la Administraci ón del sistema de la organización de servicios (informes Tipo 1 y Tipo 2). Materia a evaluar La descripción por la Administración del sistema de la organización de servicios que probablemente sea pertinente para el control interno de la entidad usuaria sobre el proceso de preparación y presentación de información financiera y que está cubierta por el informe del auditor de la organización de servicios y por la afirmación de la Administración respecto a si la descripción está presentada razonablemente. Criterios La descripción por la Administración del sistema de la organización de servicios está razonablemente presentada sí: a. presenta como fue diseñado e implementado el sistema de la organización de servicios incluyendo, cuando fuere apropiado, los asuntos identificados en el párrafo 14(a) y, en el caso de un informe Tipo 2, incluye detalles pertinentes de los cambios en el sistema de la organización de servicios durante el período cubierto por la descripción b. no omite ni distorsiona información pertinente al sistema de la organización de servicios, mientras reconoce que la descripción por la Administración del sistema de la organización de servicios está preparada para cumplir con necesidades comunes de un amplio rango de entidades usuarias y, por lo tanto, puede no incluir todos los aspectos del sistema de una organización de servicios que cada usuario individual pueda considerar importante en su propio entorno en particular. Comentario La redacción textual específica de los criterios para esta opinión puede necesitar ser hechas a la medida para ser uniforme con los criterios establecidos por, por ejemplo, leyes, regulaciones, grupos de usuarios o por un organismo profesional. Los criterios para evaluar la descripción por la Administración del sistema de la organización de servicios se proporcionan en el párrafo 14. Los párrafos 19-20 y A31-A33 ofrecen guías adicionales para determinar si se cumplen estos criterios. Opinió n sobre lo adecua do del diseño y de la efectiv idad operac ional (infor mes Tipo 2). Materia a evaluar El diseño y la efectividad operacional de los controles que son necesarios para lograr los objetivos de control indicados en la descripción por la Administració n del sistema de la organización de servicios. Criterios Los controles están adecuadamente diseñados y operando con efectividad para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios sí: a. la Administración ha identificado los riesgos que amenazan el logro de los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios. b. los controles identificados en la descripción por la Administración del sistema de la organización de servicios, si estuvieren operando, como se describe, proporcionan una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción fueren logrados. c. los controles fueron uniformemente aplicados como fueron diseñados durante todo el período especificado. Esto incluye si controles manuales fueron aplicados por personas que tienen la apropiada competencia y autoridad. Comentarios Cuando los criterios para esta opinión se cumplen, los controles habrán proporcionado una seguridad razonable que los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios fueron logrados durante todo el período especificado. Los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios forman parte de los criterios para estas opiniones. Los objetivos de control indicados en la descripción serán diferentes entre un trabajo y otro. Si el auditor de la organización de servicios concluye que los objetivos de control indicados en la descripción no están presentados razonablemente, entonces esos objetivos de control no serían adecuados como parte de los criterios para formarse una opinión sobre el diseño y la efectividad operacional de los controles. Opinión sobre lo adecuado del diseño (informes Tipo 1). Materia a evaluar Lo adecuado del diseño de los controles necesario para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios y pertinente para los servicios cubiertos por el informe del auditor de la organización de servicios. Criterios Comentario Los controles están adecuadamente diseñados para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios sí: Cumplir con estos criterios, no proporciona, por sí sólo, ninguna seguridad que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios fueron cumplidos porque ninguna evidencia ha sido obtenida respecto a la efectividad operacional de los controles. a. la Administración ha identificado riesgos que amenazan el logro de objetivos de control indicados en descripción del sistema de organización de servicios los los su la b. los controles identificados en la descripción por la Administración del sistema de la organización de servicios si estuviere operando como se describe proporcionaría una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción fueren logrados. A23. El párrafo 14(a) identifica como apropiados a varios elementos que están incluidos en la descripción por la Administración del sistema de la organización de servicios. Estos elementos pueden no ser apropiados si el sistema que está siendo descrito no es un sistema que procesa transacciones. Por ejemplo, si el sistema está relacionado con controles generales por la tutela sobre una aplicación de TI, pero no a controles implantados en la aplicación propiamente tal. (Ver párrafo 14) A24. El requerimiento de incluir en la descripción por la Administración del sistema de la organización de servicios “otros aspectos del entorno de control, proceso de evaluación de riesgos, sistemas de información y comunicación (incluyendo los procesos de negocios relacionados), actividades de control y controles de monitoreo de la organización de servicios, que son pertinentes a los servicios proporcionados” es también aplicable a los componentes de control interno de las organizaciones de sub-servicios utilizadas por la organización de servicios cuando es utilizado el método inclusivo. Ver la Sección AU 314 Entendimiento de la Entidad y de su Entorno y Evaluar los Riesgos de Representaciones Incorrectas Significativas, para un análisis de estos componentes. (Ver párrafo 14(a)(vii)) Importancia Relativa (Ver párrafo 17) A25. En un trabajo para informar sobre los controles en una organización de servicios, el concepto de importancia relativa se relaciona con la información sobre la cual se informa y no con los estados financieros de las entidades usuarias. El auditor de la organización de servicios planifica y efectúa procedimientos para determinar si la descripción por la Administración del sistema de la organización de servicios está presentada razonablemente, en todos sus aspectos significativos, de si los controles en la organización de servicios están adecuadamente diseñados, en todos sus aspectos significativos para lograr los objetivos de control indicados en la descripción y, en el caso de un informe Tipo 2, si los controles en la organización de servicios operaron con efectividad durante todo el período especificado en todos los aspectos significativos para lograr los objetivos de control indicados en la descripción. El concepto de importancia relativa toma en consideración que el informe del auditor de la organización de servicios proporciona información respecto al sistema de la organización de servicios para cumplir con las necesidades de información común de un amplio rango de entidades usuarias y sus auditores quienes tienen un entendimiento de la forma en que el sistema está siendo utilizado por una entidad usuaria en particular, para efectos de su proceso de preparación y presentación de información financiera. A26. La importancia relativa respecto a la presentación razonable de la descripción por la Administración del sistema de la organización de servicios y con respecto al diseño de controles, primordialmente incluye la consideración de factores cualitativos, por ejemplo, sí: la descripción por la Administración del sistema de la organización de servicios incluye los aspectos significativos del procesamiento de transacciones significativas la descripción por la Administración del sistema de la organización de servicios omite o distorsiona información pertinente los controles tienen la capacidad, como fueron diseñados, para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios serían logrados la importancia relativa con respecto a la efectividad operacional de los controles, incluye la consideración de factores tanto cuantitativos como cualitativos. Por ejemplo, la tasa aceptable y la tasa observada de desviación (un asunto cuantitativo) y la naturaleza y la causa de cualquier desviación observada (un asunto cualitativo). A27. El concepto de importancia relativa no es aplicado al revelar, en la descripción de las pruebas de los controles, los resultados de esas pruebas cuando desviaciones han sido identificadas. Esto es así debido a que en las circunstancias particulares de una entidad usuaria específica o auditor de la entidad usuaria, una desviación puede tener una importancia más allá de si en la opinión del auditor de la organización de servicios, impida o nó que un control opere con efectividad. Por ejemplo, el control al cual se relacione la desviación puede ser particularmente importante para impedir un cierto tipo de error que puede ser significativo en las circunstancias particulares de los estados financieros de una entidad usuaria. Obtener un Entendimiento del Sistema de la Organización de Servicios (Ver párrafo 18) A28. Obtener un entendimiento del sistema de la organización de servicios, incluyendo los controles relacionados, ayudan al auditor de la organización de servicios en lo siguiente: Identificar los parámetros del sistema y cómo interactúa con otros sistemas Evaluar si la descripción por la Administración del sistema de la organización de servicios presenta razonablemente el sistema de la organización de servicios que ha sido diseñado e implementado Determinar cuáles controles son necesarios para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, si los controles fueron adecuadamente diseñados para lograr esos objetivos de control y, en el caso de un informe Tipo 2, si los controles estaban operando con efectividad durante todo el período para lograr esos objetivos de control. A29. La descripción por la Administración del sistema de la organización de servicios incluye “aspectos del entorno de control, proceso de evaluación de riesgos, sistemas de información y comunicación (incluyendo los procesos de negocios relacionados), actividades de control y controles de monitoreo de las organizaciones de servicios, que son pertinentes a los servicios proporcionados”. Aunque aspectos del entorno de control, proceso de evaluación de riesgos y actividades de monitoreo de la organización de servicios pueden no ser presentadas en la descripción bajo el contexto de objetivos de control pueden, no obstante, ser necesarios para lograr los objetivos de control especificados indicados en la descripción. De la misma manera, las deficiencias en estos controles pueden tener un efecto sobre la evaluación por el auditor de la organización de servicios respecto a si los controles, tomados en su conjunto, fueron adecuadamente diseñados u operando con efectividad para lograr los objetivos de control especificados. Ver la Sección AU 314 para un análisis de estos componentes de control interno. A30. Los procedimientos del auditor de la organización de servicios para obtener el entendimiento mencionado en el párrafo A28 pueden incluir lo siguiente: Indagar a la Administración y a otros dentro de la organización de servicios a quienes, a juicio del auditor de la organización de servicios, puedan tener información pertinente Observar operaciones e inspeccionar documentos, informes y registros impresos o electrónicos del procesamiento de transacciones Inspeccionar una selección de acuerdos entre la organización de servicios y entidades usuarias para identificar sus términos comunes Repetir la aplicación de un control Uno o más de los procedimientos anteriores pueden ser logrados mediante una visita inspectiva y/o la repetición del procesamiento de determinadas transacciones Obtener Evidencia Respecto a la Descripción por la Administración del Sistema de la Organización de Servicios (Ver párrafos 19-20) A31. En un examen por un auditor de la organización de servicios, el auditor de la organización de servicios planifica y efectúa el trabajo para obtener una seguridad razonable de detectar errores u omisiones en la descripción por la Administración del sistema de la organización de servicios e instancias en que los objetivos de control no fueron logrados. Una seguridad absoluta no es alcanzable debido a factores tales como la necesidad de juicio, la utilización de muestreo y las inherentes limitaciones de los controles en la organización de servicios que afectan si la descripción está razonablemente presentada y que los controles están adecuadamente diseñados y operando con efectividad para lograr los objetivos de control y debido a que mucha de la evidencia disponible para el auditor de la organización de servicios es persuasiva en vez de ser concluyente por naturaleza. Además, procedimientos que son efectivos para detectar errores no intencionales u omisiones en la descripción, e instancias en que los objetivos de control no fueron logrados que están ocultos mediante colusión entre personal de la organización de servicios y un tercero, o entre la Administración y empleados de la organización de servicios. Por lo tanto, el descubrimiento posterior de la existencia de omisiones significativas o errores en la descripción o instancias en que los objetivos de control no fueron logrados, no representan por sí solos, evidencia de planificación, ejecución o juicio inadecuados de parte del auditor de la organización de servicios. (Ver párrafo 27) A32. Considerar los siguientes asuntos puede ayudar al auditor de la organización de servicios a determinar si la descripción por la Administración del sistema de la organización de servicios está presentada razonablemente, en todos sus aspectos significativos ¿Trata la descripción hecha por la Administración los principales aspectos del servicio proporcionado e incluido en el alcance del trabajo que razonablemente podría esperarse que sean pertinentes para las necesidades comunes de un amplio rango de auditores de entidades usuarias al planificar sus auditorías de los estados financieros de las entidades usuarias? ¿Está preparada la descripción a un nivel de detalle que razonablemente podría esperarse proporcione a un amplio rango de auditores de entidades usuarias con suficiente información para obtener un entendimiento del control interno de acuerdo con la Sección AU 314?. La descripción no necesita tratar cada aspecto del procesamiento por la organización de servicios o de los servicios proporcionados a entidades usuarias y no necesita ser tan detallada que potencialmente podría permitir a un lector afectar negativamente la seguridad y otros controles en la organización de servicios ¿Está preparada la descripción de una manera que no omite ni distorsiona la información que podría afectar las decisiones de un amplio rango de auditores de entidades usuarias, por ejemplo, incluye la descripción cualquier omisión significativa o inexactitudes respecto al procesamiento de las cuales el auditor de la organización de servicios tenga conocimiento? ¿Incluye la descripción detalles pertinentes de cambios en el sistema de la organización de servicios durante el período cubierto por la descripción cuando ésta cubre un período de tiempo? ¿Han sido efectivamente implementados los controles identificados en la descripción? ¿Están adecuadamente descritos, si hubieren, los controles complementarios en la entidad usuaria?. En la mayoría de los casos, los objetivos de control indicados en la descripción están redactados en forma tal que puedan ser logrados mediante la efectividad operacional de los controles implementados por la organización de servicios por sí misma. Sin embargo, en algunos casos, los objetivos de control indicados en la descripción no pueden ser logrados por la organización de servicios por sí sola, debido a que su logro requiere que controles específicos sean implementados por las entidades usuarias. Este puede ser el caso cuando, por ejemplo, los objetivos de control son especificados por un organismo regulador. Cuando la descripción sí incluye controles complementarios en la entidad usuaria, la descripción identifica en forma separada esos controles junto con los objetivos de control específicos que no pueden ser logrados por la organización de servicios por sí sola. (Ver párrafo 19(c)) ¿Si se ha utilizado el método inclusivo, se identifica en forma separada la descripción los controles en la organización de servicios y los controles en la organización de sub-servicios? ¿Si se utiliza el método de exclusión, identifica la descripción las funciones que son efectuadas en la organización de sub-servicios? Cuando se utiliza el método de exclusión, la descripción no necesita proporcionar el procesamiento en forma detallada ni los controles en la organización de subservicios. A33. Los procedimientos del auditor de la organización de servicios para evaluar la presentación razonable de la descripción por la Administración del sistema de la organización de servicios pueden incluir los siguientes: Considerar la naturaleza de las entidades usuarias y cómo los servicios proporcionados por la organización de servicios pueden probablemente afectarlas, por ejemplo, los tipos predominantes de entidades usuarias y si las entidades usuarias están reguladas por organismos gubernamentales Leer contratos con las entidades usuarias para obtener un entendimiento de las obligaciones contractuales de la organización de servicios Observar los procedimientos efectuados por el personal de la organización de servicios Revisar los manuales de políticas y procedimientos y otra documentación del sistema de la organización de servicios, por ejemplo, flujogramas y descripciones Efectuar repeticiones de transacciones ya procesadas a través del sistema de la organización de servicios A34. El párrafo 19(a) requiere que el auditor de la organización de servicios evalúe si los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios son razonables en las circunstancias. La consideración de los siguientes aspectos puede ayudar al auditor de la organización de servicios en esta evaluación: ¿Han sido especificados por la organización de servicios o por partes externas a ésta, tales como organismos reguladores, un grupo de usuarios, un organismo profesional u otros, los objetivos de control indicados en la descripción? ¿Se relacionan los objetivos de control indicados en la descripción y especificados por la organización de servicios, con los tipos de afirmaciones comúnmente incorporadas en el amplio rango de estados financieros de entidades usuarias a las cuales los controles en la organización de servicios podrían razonablemente estar relacionados (por ejemplo, afirmaciones respecto a la existencia y a la exactitud que son afectados por controles de acceso que previenen o detectan el acceso no autorizado al sistema? Aunque normalmente el auditor de la organización de servicios no podrá determinar cómo los controles en una organización de servicios se relacionan específicamente con las afirmaciones incorporadas en los estados financieros individuales de entidades usuarias, el entendimiento por el auditor de la organización de servicios de la naturaleza del sistema de la organización de servicios, incluyendo sus controles, y los servicios que están siendo proporcionados, es utilizado para identificar los tipos de afirmaciones a las cuales esos controles tienen la probabilidad de estar relacionados. ¿Están completos los objetivos de control indicados en la descripción y especificados por la organización de servicios? Aún cuando un juego completo objetivos de control puede proporcionar a un amplio rango de auditores de usuarias con un marco para evaluar el efecto de los controles en la organización de servicios sobre afirmaciones comúnmente incorporadas en los estados financieros de entidades usuarias, normalmente el auditor de la organización de servicios no podrá determinar cómo los controles en la organización de servicios se relacionan específicamente con las afirmaciones incorporadas en los estados financieros individuales de las entidades usuarias y, por lo tanto, no puede determinar si los objetivos de control están completos desde el punto de vista de las entidades usuarias individuales o de los auditores de las entidades usuarias. Es la responsabilidad de las entidades usuarias individuales o de los auditores de las usuarias evaluar si la descripción de la organización de servicios trata los objetivos de control específicos que son pertinentes para sus necesidades. Si los objetivos de control son especificados por una parte externa, incluyendo los objetivos de control especificados por ley o regulación, la parte externa es responsable por su integridad y su razonabilidad. (Ver párrafo 19(a)) A35. Los procedimientos del auditor de la organización de servicios para determinar si el sistema descrito por la organización de servicios ha sido implementado, puede ser similar a, o efectuado conjuntamente con, procedimientos para obtener un entendimiento de ese sistema. Otros procedimientos que el auditor de la organización de servicios puede utilizar en combinación con indagaciones a la Administración y a otro personal de la organización de servicios, incluyen observación, inspección de registros y otra documentación, como asimismo a la repetición de la manera en que las transacciones son procesadas a través del sistema y cómo los controles son aplicados. (Ver párrafos 19(b) y 20) Obtener Evidencia Respecto al Diseño de los Controles (Ver párrafo 21) A36. Los riesgos y los objetivos de control identificados en el párrafo 21(a) cubren actos intencionales y no intencionales que amenacen el logro de los objetivos de control. (Ver párrafo 21(a)) A37. Desde el punto de vista del auditor de la entidad usuaria, un control está adecuadamente diseñado para lograr los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios, si individualmente o en combinación con otros controles proporcionaría, cuando fuere cumplido en forma satisfactoria, una seguridad razonable que se eviten, detecten y corrijan representaciones incorrectas significativas. Sin embargo, un auditor de una organización de servicios no tiene conocimiento de las circunstancias en las entidades usuarias individuales que afectarían si una representación incorrecta resultante de una deficiencia de control sea o no significativa para esas entidades usuarias. Por lo tanto, desde el punto de vista de un auditor de una organización de servicios, un control está adecuadamente diseñado, si individualmente o en combinación con otros controles proporcionaría, cuando fuere cumplido en forma satisfactoria, una seguridad razonable que el o los objetivos de control indicados en la descripción del sistema de la organización de servicios es o son logrados. A38. Un auditor de una organización de servicios puede considerar la utilización de flujogramas, cuestionarios o tablas de decisión para facilitar su entendimiento del diseño de los controles. A39. Los controles pueden consistir de un sinnúmero de actividades dirigidas al logro de varios objetivos de control. En consecuencia, si el auditor de una organización de servicios evalúa ciertas actividades como inefectivas para lograr un objetivo de control en particular, la existencia de otras actividades puede permitir al auditor de una organización de servicios que concluya que los controles relacionados con los objetivos de control están diseñados adecuadamente para lograr el objetivo de control. Obtener Evidencia Respecto a la Efectividad Operacional de los Controles (Ver párrafos 22-27) A40. Desde el punto de vista de un auditor de una entidad usuaria, un control está operando con efectividad si individualmente o en combinación con otros controles, proporciona una seguridad razonable que representaciones incorrectas significativas ya sea debido a fraude o error son prevenidas, o detectadas y corregidas. Sin embargo, un auditor de una organización de servicios no tiene conocimiento de las circunstancias en las entidades usuarias individuales que afectarían si una representación incorrecta resultante de una desviación en un control es o no significativa para esas entidades usuarias. Por lo tanto, desde el punto de vista de un auditor de una organización de servicios, un control está operando con efectividad si individualmente o en combinación con otros controles, proporciona una seguridad razonable que los objetivos de control indicados en la descripción por la Administración del sistema de la organización de servicios son logrados. Igualmente, un auditor de una organización de servicios no está en una posición para determinar si cualquier desviación en un control resultaría en una representación incorrecta significativa desde el punto de vista de una entidad usuaria individual. (Ver párrafo 22) A41. Obtener un entendimiento de los controles que sea suficiente para opinar sobre lo adecuado de su diseño no constituye evidencia suficiente respecto a su efectividad operacional a menos que algún grado de automatización resulte en una operación uniforme de los controles para lo que fueron diseñados e implementados. Por ejemplo, obtener información respecto a la implementación de un control manual en un momento dado no proporciona evidencia respecto a la operación del control en otros momentos distintos. Sin embargo, debido a la inherente uniformidad del procesamiento TI, efectuar procedimientos para determinar el diseño de un control automatizado y si ha sido implementado puede servir como evidencia de la efectividad operacional de ese control, dependiendo de la evaluación del auditor de la organización de servicios y efectuar pruebas de los controles, como aquellos sobre los cambios de programas. (Ver párrafo 22) A42. Un informe Tipo 2 que cubre un período de tiempo menor a seis meses es improbable que sea de utilidad para las entidades usuarias y sus auditores. Si la descripción por la Administración del sistema de la organización de servicios cubre un período menor a seis meses, la descripción puede comentar las razones por el menor período y el informe del auditor de una organización de servicios puede también incluir esa información. Las circunstancias que pueden originar un informe que cubre un período menor a seis meses incluyen las siguientes: El auditor de una organización de servicios fue contratado cerca de la fecha límite a la cual el informe sobre los controles debe ser emitido y los controles no pueden ser sometidos a pruebas para comprobar su efectividad operacional por un período de seis meses La organización de servicios o un sistema o aplicación en particular han estado operando por menos de seis meses Se han efectuado cambios significativos a los controles y no es práctico ya sea esperar seis meses antes de emitir un informe o para emitir un informe cubriendo al sistema tanto antes como después de los cambios. (Ver párrafo 23) A43. La evidencia respecto a la operación satisfactoria de los controles en períodos anteriores no proporciona evidencia de la efectividad operacional de los controles durante el período actual. El auditor de una organización de servicios expresa una opinión sobre la efectividad de los controles durante el total de cada período, por lo tanto, se requiere de suficiente y apropiada evidencia sobre la efectividad operacional de los controles durante todo el período actual para que el auditor de una organización de servicios exprese esa opinión por el período actual. Sin embargo, el conocimiento de desviaciones observadas en trabajos anteriores pueden resultar en que el auditor de una organización de servicios incremente el nivel de pruebas durante el período actual. (Ver párrafo 22) A44. Determinar el efecto de cambios en los controles de la organización de servicios que fueron implementados durante el período cubierto por el informe del auditor de la organización de servicios implica obtener información de la naturaleza y alcance de tales cambios, como afectan los procesamientos en la organización de servicios y como podrían afectar las afirmaciones en los estados financieros de las entidades usuarias. (Ver párrafos 14(b) y 23) A45. Ciertos controles pueden no dejar evidencia de su operación que puede ser sometida a pruebas en una fecha posterior y, en consecuencia, el auditor de la organización de servicios puede considerar apropiado efectuar pruebas de la efectividad operacional de tales controles en distintos momentos durante todo el período sobre el cual se informa. (Ver párrafo 22) Utilizar el Trabajo de la Función de Auditoría Interna Obtener un Entendimiento de la Función de Auditoría Interna (Ver párrafo 28) A46. Una función de auditoría interna puede ser responsable de proporcionar análisis, evaluaciones, seguridad, recomendaciones y otra información a la Administración y a los encargados del Gobierno Corporativo. Una función de auditoría interna en una organización de servicios puede efectuar actividades relacionadas con el control interno de la organización de servicios o actividades relacionadas con servicios y sistemas, incluyendo los controles que la organización de servicios proporciona a las entidades usuarias. A47. El alcance y los objetivos de una función de auditoría interna varían ampliamente y dependen del tipo y de la estructura de la organización de servicios y de los requerimientos de la Administración y de los encargados del Gobierno Corporativo. Las actividades de la función de auditoría interna pueden incluir una o más de las siguientes: Monitoreo del control interno o de los sistemas de procesamiento de aplicaciones de la organización de servicios. Esto puede incluir los controles pertinentes a los servicios proporcionados a entidades usuarias. Se puede asignar a la función de auditoría interna una responsabilidad específica por la revisión de controles, monitoreo de su operación y recomendando mejoras a los mismos. Examen de la información financiera y operacional. La función de auditoría interna puede ser asignada para revisar los medios por los cuales la organización de servicios identifica, mide, clasifica e informa la información financiera y operacional, para efectuar indagaciones respecto a asuntos específicos y efectuar otros procedimientos incluyendo pruebas detalladas de transacciones, saldos y procedimientos. Evaluación de la economía, eficiencia y efectividad de las actividades operacionales, incluyendo actividades no financieras de la organización de servicios. Evaluación del cumplimiento con leyes, regulaciones y otros requerimientos externos y con las políticas, directrices y otros requerimientos internos. Utilizar el Trabajo de la Función de Auditoría Interna (Ver párrafos 31-32) A48. La naturaleza, oportunidad y alcance de los procedimientos del auditor de la organización de servicios del trabajo específico de los auditores internos dependerá de la evaluación del auditor de la organización de servicios de la importancia de ese trabajo para las conclusiones del auditor de la organización de servicios (por ejemplo, la importancia de los riesgos que los controles tienden a mitigar), la evaluación de la función de auditoría interna y la evaluación del trabajo específico de los auditores internos. Tales procedimientos pueden incluir lo siguiente: Examen de partidas ya examinadas por los auditores internos. Examen de otras partidas similares. Observar los procedimientos efectuados por los auditores internos. Efecto Sobre el Informe del Auditor de la Organización de Servicios (Ver párrafos 33-34) A49. La responsabilidad de informar sobre la descripción por la Administración del sistema de la organización de servicios y lo adecuado del diseño y efectividad operacional de los controles, corresponde únicamente al auditor de la organización de servicios y no puede ser compartida con la función de auditoría interna. En consecuencia, los juicios sobre la importancia de las desviaciones en el diseño y en la efectividad operacional de los controles, la suficiencia de las pruebas efectuadas, la evaluación de las deficiencias identificadas y otros asuntos que afectan al informe del auditor de la organización de servicios, son los del auditor de la organización de servicios. Al hacer juicios sobre el alcance del efecto del trabajo de la función de auditoría interna sobre los procedimientos del auditor de la organización de servicios, el auditor de la organización de servicios puede determinar, a base del riesgo asociado con los controles y la importancia de los juicios relacionados con éstos, que el auditor de la organización de servicios efectuará el trabajo relacionado con algunos o todos los controles, en vez de utilizar el trabajo efectuado por la función de auditoría interna. A50. En el caso de un informe Tipo 2, cuando el trabajo de la función de auditoría interna ha sido utilizado para efectuar pruebas de los controles, la descripción del auditor de la organización de servicios de ese trabajo y de los procedimientos del auditor de la organización de servicios en relación con ese trabajo, puede ser presentado en un sinnúmero de maneras, por ejemplo, (Ver párrafos 34 y 52(o)(i)) incluyendo material introductorio a la descripción de las pruebas de los controles, indicando que cierto trabajo de la función de auditoría interna fue utilizado para efectuar las pruebas de los controles asignando pruebas individuales a la función de auditoría interna. Representaciones Escritas (Ver párrafos 36-39) A51. Representaciones escritas reafirmando la afirmación de la organización de servicios respecto a la efectiva operación de los controles pueden estar basadas en actividades de monitoreo permanentes, evaluaciones independientes, o una combinación de ambos. (Ver párrafo A12) A52. En ciertas circunstancias, un auditor de la organización de servicios puede obtener representaciones escritas de otras partes, además de la Administración de la organización de servicios, tales como de los encargados del Gobierno Corporativo. A53. Las representaciones escritas requeridas por el párrafo 36 son independientes a y adicionales a la afirmación incluida en o adjunta a la descripción por la Administración del sistema de la organización de servicios requerida por el párrafo 9(c)(vii). A54. Si el auditor de la organización de servicios no puede obtener representaciones escritas respecto a los objetivos de control pertinentes y los controles relacionados en la organización de sub-servicios, la Administración de la organización de servicios no podría utilizar el método inclusivo pero podría utilizar el método de exclusión. A55. Además de las representaciones escritas requeridas por el párrafo 36, el auditor de la organización de servicios puede considerar necesario solicitar otras representaciones escritas. Otra Información A56. La “otra información” a la cual se refieren los párrafos 40-41 puede ser la siguiente: Información proporcionada por la organización de servicios e incluida en una sección del informe Tipo 1 o Tipo 2 del auditor de la organización de servicios, o Información separada del informe Tipo 1 o Tipo 2 del auditor de la organización de servicios, e incluida en un documento que incorpora el informe del auditor de la organización de servicios. Esta otra información puede ser proporcionada por la organización de servicios o por otra parte. (Ver párrafos 40, 52(c)(ii)-(iii) y 53(c)(ii)–(iii)) A57. Si la otra información incluida en un documento que incorpora la descripción por la Administración del sistema de la organización de servicios y el informe del auditor de la organización de servicios incluye información orientada al futuro que no pueda ser comprobada razonablemente, el auditor de la organización de servicios puede solicitar que la información sea eliminada o modificada. (Ver párrafo 41) Documentación A58. El párrafo 57 de la Declaración sobre Normas de Calidad Nº 7, El Sistema de Control de Calidad de una Firma (Sección CC 10), requiere que la firma establezca políticas y procedimientos que traten el desempeño del trabajo, responsabilidades de supervisión y de revisión. Este requerimiento de documentar quién revisó el trabajo efectuado y el alcance de la revisión, de acuerdo con las políticas y procedimientos de la firma que tratan las responsabilidades de una revisión, no implica una necesidad que cada papel de trabajo específico incluya evidencia de su revisión. Sin embargo, el requerimiento significa documentar qué trabajo fue revisado, quién revisó tal trabajo y cuándo fue revisado. (Ver párrafo 44) Preparar El informe del Auditor de la Organización de Servicios Contenido del Informe del Auditor de la Organización de Servicios (Ver párrafos 52-53) A59. Ejemplos de informes de auditores de la organización de servicios se presentan en los Anexos A-C y de afirmaciones ilustrativas por la Administración se presentan en la Planilla A. A60. La afirmación de la organización de servicios puede ser presentada en la descripción por la Administración del sistema de la organización de la organización de servicios o puede ser adjuntada a la descripción. (Ver párrafos 52(e) y 53(e)) Utilizar el Informe del Auditor de la Organización de Servicios (Ver párrafos 52(p) y 53(o)) A61. El párrafo 79 de la Sección AT 101 requiere que el uso de un informe de un profesional sea restringido a partes especificadas cuando los criterios utilizados para evaluar o medir la materia a evaluar sólo estén disponibles a partes especificadas o sólo apropiados para un número limitado de partes quienes ya sea participaron en establecerlos o quienes se presume que tienen un adecuado entendimiento de los criterios. Los criterios utilizados para trabajos para informar sobre controles en la organización de servicios sólo son pertinentes para el propósito de proporcionar información sobre el sistema de la organización de servicios, incluyendo los controles, a quienes tienen un entendimiento de cómo el sistema es utilizado en el proceso de preparación y presentación de información financiera por entidades usuarias y, en consecuencia, el informe del auditor de la organización de servicios indica que el informe y la descripción de pruebas de los controles sólo tienen por propósito su uso por la Administración de la organización de servicios, entidades usuarias de la organización de servicios (“durante parte o todo el período cubierto por el informe” para un informe Tipo 2 y “a la fecha de cierre del período cubierto por el informe” para un informe Tipo 1) y sus auditores. (Los informes ilustrativos de auditores de la organización de servicios en el Anexo A, ilustran el lenguaje para un párrafo que restringe el uso de un informe de un auditor de la organización de servicios). A62. El párrafo 79 de la Sección AT 101 indica que la necesidad para restringir un informe puede resultar de un sinnúmero de circunstancias, incluyendo al potencial que el informe sea malentendido al ser considerado fuera del contexto dentro del cual se pretendía que fuere utilizado y la medida en que los procedimientos efectuados son conocidos y entendidos. A63. Aún cuando el auditor de la organización de servicios no es responsable por controlar la distribución por la organización de servicios de un informe de un auditor de la organización de servicios, un auditor de la organización de servicios puede informar a la organización de servicios de lo siguiente: No se tiene la intención que un informe Tipo 1 sea distribuido a partes que sean distintas a la organización de servicios, entidades usuarias del sistema de la organización de servicios al final del período cubierto por el informe del auditor de la organización de servicios y auditores de las entidades usuarias No se tiene la intención que un informe Tipo 2 sea distribuido a partes que sean distintas a la organización de servicios, entidades usuarias del sistema de la organización de servicios durante parte o todo el período cubierto por el informe del auditor de la organización de servicios y auditores de las entidades usuarias. A64. Una entidad usuaria también es considerada una entidad usuaria de las organizaciones de sub-servicios de la organización de servicios, si los controles en las organizaciones de subservicios son pertinentes al control interno sobre el proceso de preparación y presentación de información financiera de la entidad usuaria. En tal caso, la entidad usuaria es considerada como una entidad usuaria indirecta o de nivel secundario respecto a la organización de sub-servicios. En consecuencia, una entidad usuaria indirecta o de nivel secundario puede ser incluida en el grupo a quienes el uso del informe del auditor de la organización de servicios está restringida, si los controles en la organización de servicios son pertinentes al control interno sobre el proceso de preparación y presentación de información financiera de tal entidad usuaria indirecta o de nivel secundario. Descripción de las Pruebas de Controles del Auditor de la Organización de Servicios y los Resultados de los Mismos (Ver párrafo 52(o)(ii)) A65. Al describir las pruebas de controles del auditor de la organización de servicios para un informe Tipo 2, ayuda a los lectores si el informe del auditor de la organización de servicios incluye información sobre los factores causales para las desviaciones identificadas, en la medida que el auditor de la organización de servicios ha identificado tales factores. Opiniones Modificadas (Ver párrafos 55-57) A66. Ejemplos de elementos de informes modificados del auditor de la organización de servicios se presentan en el Anexo B. Otras Responsabilidades de Comunicación (Ver párrafo 58) A67. Las acciones que un auditor de la organización de servicios puede efectuar al tomar conocimiento de incumplimientos de leyes y regulaciones, fraudes o errores no corregidos en la organización de servicios (después de dar consideración adicional a instancias en las cuales la organización de servicios no ha comunicado apropiadamente esta información a las entidades usuarias afectadas y la organización no desea hacerlo) incluyen las siguientes: Obtener consejo legal respecto a las consecuencias de los distintos cursos de acción. Comunicarse con los encargados del Gobierno Corporativo de la organización de servicios. Abstenerse de opinar, modificar la opinión del auditor de la organización de servicios o agregando un párrafo de énfasis. Comunicarse con terceros, por ejemplo, con un regulador, cuando esté requerido para hacerlo. Retirarse del trabajo. A68. Anexo A: Informes Ilustrativos de un Auditor de una Organización de Servicios Los siguientes informes ilustrativos son sólo como guías y no tienen la intención de ser exhaustivos ni aplicables a todas las situaciones Ejemplo 1: Informe Tipo 2 de un Auditor de la Organización de Servicios Informe de un Auditor Independiente de una organización de Servicios sobre una Descripción de un Sistema de una Organización de Servicios y lo Adecuado del Diseño y de la Efectividad Operacional de los Controles A: Organización de Servicios XYZ Alcance Hemos examinado la descripción del sistema (tipo o nombre de) de la Organización de Servicios XYZ para procesar las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema) durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del diseño y efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. Responsabilidades de la Organización de Servicios En la página xx de la descripción, la Organización de Servicios XYZ ha proporcionado una afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La Organización de Servicios XYZ es responsable por preparar la descripción y la afirmación, proporcionando los servicios cubiertos por la descripción, especificar los objetivos de control e identificarlos en la descripción, identificar los riesgos que amenazan el logro de los objetivos de control, seleccionar los criterios e implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción. Responsabilidad del Auditor de una Organización de Servicios Nuestra responsabilidad es expresar una opinión sobre la razonabilidad de la presentación y de la descripción y de lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción, a base de nuestro examen. Efectuamos nuestro examen de acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile. Esas normas requieren que planifiquemos y efectuemos nuestro examen para obtener una seguridad razonable respecto a si, en todos sus aspectos significativo, la descripción esta presentada razonablemente y que los controles fueron diseñados adecuadamente y están operando con efectividad para lograr los objetivos de control relacionados indicados en la descripción durante todo el período (fecha) a (fecha). Un examen de una descripción del sistema de una organización de servicios y de lo adecuado del diseño y de la efectividad operacional de los controles de la organización de servicios para lograr los objetivos de control relacionados indicados en la descripción, implica efectuar procedimientos para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo adecuado que es el diseño y la efectividad operacional de esos controles para lograr los objetivos de control relacionados indicados en la descripción. Nuestros procedimientos incluyeron evaluar riesgos que la descripción no está presentada razonablemente y que los controles no estaban diseñados adecuadamente ni operaban con efectividad para lograr los objetivos de control relacionados indicados en la descripción. Nuestros procedimientos también incluyeron efectuar pruebas de la efectividad operacional de esos controles que nosotros consideramos necesarios para proporcionar una seguridad razonable que los objetivos de control relacionados indicados en la descripción fueron logrados. Un examen de este tipo también incluye evaluar la presentación general de la descripción y lo adecuado de los objetivos de control allí indicados y de lo adecuado de los criterios especificados por la organización de servicios y descritos en la página (aa). Consideramos que la evidencia que obtuvimos es suficiente y apropiada para proporcionar una base razonable para nuestra opinión. Limitaciones Inherentes Debido a su naturaleza, los controles en una organización de servicios pueden no prevenir, o detectar y corregir, todos los errores u omisiones en el procesamiento o en el proceso de informar transacciones (o identificación de la función efectuada por el sistema). Además, la proyección al futuro de cualquier evaluación de la razonabilidad de la presentación de la descripción, o conclusiones respecto a lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados, está sujeta al riesgo que los controles en una organización de servicios puedan convertirse en inadecuados o fallar. Opinión En nuestra opinión, en todos sus aspectos significativos, a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ en la página (aa) a. la descripción presenta razonablemente el sistema (tipo o nombre de éste) que fue diseñado e implementado durante todo el periodo (fecha) a (fecha). b. los controles relacionados con los objetivos de control indicados en la descripción fueron adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de control serían logrados si los controles operaban con efectividad durante todo el período (fecha) a (fecha). c. los controles que fueron sometidos a pruebas por nosotros, que fueron los necesarios para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción fueren logrados, operaron con efectividad durante todo el período (fecha) a (fecha). Descripción de las Pruebas de Controles Los controles específicos que fueron sometidos a pruebas y la naturaleza, oportunidad y resultados de esas pruebas están listados en las páginas (yy-zz). Uso Restringido Este informe, incluyendo la descripción de las pruebas de los controles y los resultados de las mismas en las páginas (yy-zz) tiene como objetivo ser únicamente para la información y uso de la Organización de Servicios XYZ, entidades usuarias del sistema de la Organización de Servicios XYZ (tipo o nombre de éstas) y los auditores independientes de tales entidades usuarias, quienes tienen un entendimiento suficiente para considerarlo, junto con otra información, incluyendo información respecto a los controles implementados por las mismas entidades usuarias, al evaluar los riesgos de representaciones incorrectas significativas de los estados financieros de las entidades usuarias. Este informe no tiene por objetivo ser y no debiera ser utilizado por nadie que no sean estas partes especificadas. (Firma del auditor de la organización de servicios) (Fecha del informe del auditor de la organización de servicios) (Ciudad y región del auditor de la organización de servicios) La siguiente es una modificación del párrafo del alcance en un informe Tipo 2 del auditor de la organización de servicios si la descripción se refiere a la necesidad de controles complementarios en la entidad usuaria (El nuevo lenguaje se muestra en cursivas y negrillas): Hemos examinado la descripción por la Organización de Servicios XYZ de su sistema (tipo o nombre de ésta) para procesar las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema) durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La descripción indica que ciertos objetivos de control especificados en la descripción sólo pueden ser logrados si los controles complementarios en la entidad usuaria contemplados en el diseño de los controles de la Organización de Servicios XYZ están adecuadamente diseñados y operando con efectividad, junto con los controles relacionados en la organización de servicios. No hemos evaluado lo adecuado del diseño o la efectividad operacional de tales controles complementarios en la entidad usuaria. La siguiente es una modificación de los sub-párrafos aplicables del párrafo de la opinión de un informe Tipo 2 de un auditor de la organización de servicios si la aplicación de controles complementarios en la entidad usuaria es necesaria para lograr los objetivos de control relacionados indicados en la descripción del sistema de la organización de servicios (El nuevo lenguaje se muestra en cursivas y negrillas): b. Los controles relacionados con los objetivos de control indicados en la descripción fueron diseñados adecuadamente para proporcionar una seguridad razonable que esos objetivos de control serían logrados si los controles operaban con efectividad durante todo el período (fecha) a (fecha) y las entidades usuarias aplicaban los controles complementarios en las entidades usuarias contempladas en el diseño de los controles de la Organización de Servicio XYZ durante todo el período (fecha) a (fecha). c. Los controles sometidos a pruebas, que junto con los controles complementarios en la entidad usuaria mencionados en el párrafo de alcance de este informe, si éstos operan con efectividad, fueron los necesarios para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción fueron logrados, operaron con efectividad durante todo el período (fecha) a (fecha). La siguiente es una modificación del párrafo que describe las responsabilidades de la Administración de la organización de servicios para ser utilizado en un informe Tipo 2 de un auditor de una organización de servicios, cuando los objetivos de control han sido especificados por una parte externa (El nuevo lenguaje se muestra en cursivas y negrillas): En la página xx de la descripción, la Organización de Servicios XYZ ha proporcionado una afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La Organización de Servicios XYZ es responsable por la preparación de la descripción y por su afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y la afirmación, proporcionando los servicios cubiertos por la descripción, seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción. Los objetivos de control han sido especificados por (nombre de la parte que especifica los objetivos de control) y se indican en la página (aa) de la descripción. Ejemplo 2: Informe Tipo 1 de un Auditor de una Organización de Servicios Informe del Auditor Independiente de una Organización de Servicios sobre una Descripción de un Sistema de una Organización de Servicios y de lo Adecuado del Diseño de los Controles A la Organización de Servicios XYZ Alcance Hemos examinado la descripción de la Organización de Servicios XYZ de su sistema (tipo o nombre de éste) para procesar las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema) al (fecha) y lo adecuado del diseño y efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. Responsabilidades de la Organización de Servicios En la página xx de la descripción, la Organización de Servicios XYZ ha proporcionado una afirmación respecto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción. La organización de Servicios XYZ es responsable por preparar la descripción y por su afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y de la afirmación, proporcionando servicios cubiertos por la descripción, especificar los objetivos de control e identificarlos en la descripción, identificar los riesgos que amenazan el logro de los objetivos de control, seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción. Responsabilidades del Auditor de una Organización de Servicios Nuestra responsabilidad es expresar una opinión sobre la razonabilidad de la presentación de la descripción y de lo adecuado del diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción, a base de nuestro examen. Efectuamos nuestro examen de acuerdo con las normas de atestiguación establecidas por el Colegio de Contadores de Chile. Esas normas requieren que planifiquemos y efectuemos nuestro examen para obtener una seguridad razonable, en todos sus aspectos significativos, respecto a si la descripción esta presentada razonablemente y que los controles fueron diseñados adecuadamente para lograr los objetivos de control relacionados indicados en la descripción al (fecha). Un examen de una descripción del sistema de una organización de servicios y de lo adecuado del diseño de los controles de la organización de servicios para lograr los objetivos de control relacionados indicados en la descripción, implica efectuar procedimientos para obtener evidencia respecto a la razonabilidad de la presentación de la descripción y de lo adecuado que es el diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción. Nuestros procedimientos incluyeron evaluar los riesgos que la descripción no esté presentada razonablemente y que los controles no fueron diseñados adecuadamente para lograr los objetivos de control relacionados indicados en la descripción. Un examen de este tipo también incluye evaluar la presentación general de la descripción y de lo adecuado de los objetivos de control allí indicados y de lo adecuado de los criterios especificados por la organización de servicios y descritos en la página (aa). No efectuamos ningún procedimiento respecto a la efectividad operacional de los controles indicados en la descripción y, en consecuencia, no expresamos una opinión al respecto. Consideramos que la evidencia que obtuvimos es suficiente y apropiada para proporcionar una base razonable para nuestra opinión. Limitaciones Inherentes Debido a su naturaleza, los controles en una organización de servicios pueden no prevenir, detectar y corregir, todos los errores u omisiones para procesar e informar transacciones (o identificación de la función efectuada por el sistema). La proyección al futuro de cualquier evaluación de la razonabilidad de la presentación de la descripción, o cualquier conclusión respecto a la razonabilidad del diseño de los controles para lograr los objetivos de control relacionados está sujeta al riesgo que los controles en una organización de servicios puedan convertirse en inadecuados o fallar. Opinión En nuestra opinión, en todos sus aspectos significativos, a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ, a. la descripción presenta razonablemente el sistema (tipo o nombre de éste) que fue diseñado e implementado al (fecha) y b. los controles relacionados con los objetivos de control fueron diseñados para proporcionar una seguridad razonable que los objetivos de control serían logrados si los controles operaban con efectividad al (fecha). Uso Restringido Este informe tiene el propósito de ser únicamente para la información y uso de la Organización de Servicios XYZ, entidades usuarias del sistema (tipo o nombre de éste) de la Organización de Servicios XYZ al (fecha) y los auditores independientes de tales entidades usuarias, que tienen un entendimiento suficiente para considerarlo, junto con otra información incluyendo información sobre controles implementados por las mismas entidades usuarias, al obtener un entendimiento de los sistemas de información y comunicación de las entidades usuarias pertinentes al proceso de preparación y presentación de información financiera. Este informe no tiene el propósito de ser y no debiera ser utilizado por nadie que no sean estas entidades especificadas. (Firma del auditor de la organización de servicios) (Fecha del informe del auditor de la organización de servicios) (Ciudad y región del auditor de la organización de servicios) La siguiente es una modificación del párrafo del alcance en un informe Tipo 1 si la descripción del sistema de la organización de servicios se refiere a la necesidad de controles complementarios en la entidad usuaria. (El nuevo lenguaje se muestra en cursivas y negrillas): Hemos examinado la descripción de la Organización de Servicios XYZ de su servicio (tipo y nombre de) puesto a disposición de las entidades usuarias para procesar sus transacciones (o identificación de la función efectuada por el sistema) al (fecha) y de lo adecuado del diseño de los controles para lograr los objetivos de control relacionados indicados en la descripción. La descripción indica que ciertos controles complementarios en la entidad usuaria deben estar diseñados adecuadamente e implementados en las entidades usuarias para que los controles relacionados en la organización de servicios sean considerados diseñados adecuadamente para lograr los objetivos de control relacionados. No hemos evaluado lo adecuado del diseño o la efectividad operacional de tales controles complementarios en las entidades usuarias. La siguiente es una modificación del sub-párrafo aplicable en el párrafo de la opinión de un informe Tipo 1 si la aplicación de controles complementarios en la entidad usuaria es necesaria para lograr los objetivos de control relacionados indicados en la descripción por la Administración del sistema de la organización de servicios. (El nuevo lenguaje se muestra en cursivas y negrillas): b. Los controles relacionados con los objetivos de control indicados en la descripción fueron diseñados adecuadamente para proporcionar una seguridad razonable que esos objetivos de control serían logrados si los controles operaban con efectividad al (fecha) y las entidades usuarias aplicaban los controles complementarios en la entidad usuaria contemplados en el diseño de los controles de la Organización de Servicios XYZ al (fecha). La siguiente es una modificación del párrafo que describe las responsabilidades de la Administración de la Organización de Servicios XYZ a ser utilizados en un informe Tipo 1 cuando los objetivos de control han sido especificados por una parte externa. (El nuevo lenguaje se muestra en cursivas y negrillas): En la página xx de la descripción, la Organización de Servicios XYZ ha proporcionado una afirmación respeto a la razonabilidad de la presentación de la descripción y de lo adecuado del diseño de los controles para lograr los objetivos del control relacionados indicados en la descripción. La Organización de Servicios XYZ es responsable por preparar la descripción y la afirmación, incluyendo la integridad, exactitud y método de presentación de la descripción y la afirmación, proporcionar los servicios cubiertos por la descripción, seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción. Los objetivos de control han sido especificados por (nombre de la parte que especifica los objetivos de control) y se indican en la página (aa) de la descripción. A69. Anexo B: Ilustración de Informes Modificados de Auditores de Organizaciones de Servicios Los siguientes ejemplos de informes modificados de auditores de organizaciones de servicios son sólo guías y no tienen por objetivo ser exhaustivos ni aplicables a todas las situaciones. Están basados en los informes ilustrativos en el Anexo A. Ejemplo 1: Opinión con Salvedades para un Informe Tipo 2 – La Descripción del Sistema de la Organización de Servicios no está Presentada Razonablemente en todos sus Aspectos Significativos El siguiente es un párrafo ilustrativo describiendo la base para una opinión con salvedades. El párrafo sería inserto antes del párrafo modificado de la opinión. Todos los demás párrafos del informe continúan sin cambios. Base para una Opinión con Salvedades La descripción adjunta indica en página (mn) que la Organización de Servicios XYZ utiliza números de identificación y contraseñas para los operadores con el objeto de prevenir el acceso no autorizado al sistema. A base de indagaciones al personal y de observar las actividades, hemos determinado que se utilizan números de identificación y contraseñas en las aplicaciones A y B pero no son requeridas para acceder al sistema en las aplicaciones C y D. Opinión En nuestra opinión, excepto por el asunto descrito en el párrafo anterior y a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ en la página (aa), en todos sus aspectos significativos... Ejemplo 2: Opinión con Salvedades – Los Controles no están Diseñados Adecuadamente para Proporcionar una Seguridad Razonable que los Objetivos de Control Indicados en la Descripción del Sistema de la Organización de Servicios serían Logrados si los Controles Operaran con Efectividad. El siguiente es un párrafo ilustrativo describiendo la base para una opinión con salvedades. El párrafo sería inserto antes del párrafo modificado de la opinión. Todos los demás párrafos del informe continúan sin cambios. Base para una Opinión con Salvedades Como se analiza en la página (mn) de la descripción adjunta, periódicamente la Organización de Servicios XYZ efectúa cambios en los programas de aplicaciones para corregir deficiencias o para mejorar las capacidades. Los procedimientos seguidos para determinar si efectuar cambios, en diseñar cambios y en implementarlos, no incluyen la revisión y aprobación por personas autorizadas que sean independientes de aquellos involucrados en efectuar los cambios. No existen requerimientos especificados para efectuar pruebas de tales cambios o para proporcionar resultados de las pruebas a un revisor autorizado antes de implementar los cambios. Como resultado, los controles no están diseñados adecuadamente para lograr el objetivo de control, “Los controles proporcionan una seguridad razonable que cambios a las aplicaciones existentes están autorizados, sometidos a pruebas, aprobados, implementados correctamente y documentados.” Opinión En nuestra opinión, excepto por el asunto descrito en el párrafo anterior y a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ en la página (aa), en todos sus aspectos significativos... Ejemplo 3: Opinión con Salvedades para un Informe Tipo 2 – Los Controles no Operaron con Efectividad Durante Todo el Período Especificado para Lograr los Objetivos de Control Indicados en la Descripción del Sistema de la Organización de Servicios El siguiente es un párrafo ilustrativo describiendo la base para la opinión con salvedades. El párrafo sería inserto antes del párrafo de la opinión modificada. Todos los demás párrafos del informe continúan sin cambios. Base para la Opinión con Salvedades La Organización de Servicios XYZ indica en su descripción que ha automatizado los controles existentes para conciliar los cobros de préstamos con los distintos informes que emite. Sin embargo, como se indica en página (mn) de la descripción de las pruebas de controles y los resultados de los mismos, este control no estuvo operando con efectividad durante todo el período (fecha) a (fecha) debido a un error de programación. Esto resultó en que no se logró el objetivo de control “Los controles proporcionan una seguridad razonable que los cobros de préstamos están registrados correctamente” durante todo el período 1 de enero de 20X1 al 30 de abril de 20X1. La Organización de Servicios XYZ implementó un cambio en el programa que efectúa el calculo desde el 1 de mayo de 20X1 y nuestras pruebas indican que estuvo operando con efectividad durante todo el período 1 de mayo de 20X1 al 31 de diciembre de 20X1. Opinión En nuestra opinión, excepto por el asunto mencionado en el párrafo anterior y a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ en la página (aa), en todos sus aspectos significativos… Ejemplo 4: Opinión con Salvedades – El Auditor de la Organización de Servicios no Puede Obtener Suficiente y Apropiada Evidencia El siguiente es un párrafo ilustrativo describiendo la base para la opinión con salvedades. El párrafo sería inserto antes del párrafo de la opinión modificada. Todos los demás párrafos del informe continúan sin cambios. Base para la Opinión con Salvedades La Organización de Servicios XYZ indica en su descripción que ha automatizado los controles existentes para conciliar el cobro de préstamos con los informes generados. Sin embargo, los registros electrónicos de haber efectuado esta conciliación por el período (fecha) a (fecha) fueron eliminados como consecuencia de un error de procesamiento y, por lo tanto, no nos fue posible efectuar pruebas del funcionamiento de este control para ese período. En consecuencia no pudimos determinar si el objetivo de control “Los controles proporcionan una seguridad razonable que los cobros de préstamos fueron registrados correctamente” fue logrado durante todo el período (fecha) a (fecha). Opinión En nuestra opinión, excepto por el asunto descrito en el párrafo anterior y a base de los criterios descritos en la afirmación de la Organización de Servicios XYZ en la página (aa), en todos sus aspectos significativos... A70. Anexo C: Párrafos Ilustrativos del Informe para Organizaciones de Servicios que Utilizan a una Organización de Sub-Servicios A continuación se presentan modificaciones al informe ilustrativo Tipo 2 en el ejemplo 1 del Anexo A para utilizar en trabajos en los cuales la organización de servicios utiliza a una organización de sub-servicios. (El nuevo lenguaje se muestra en cursivas y negrillas; el lenguaje eliminado está tachado). Ejemplo 1: Método de Exclusión Alcance Hemos examinado la descripción por la Organización de Servicios XYZ de su sistema para procesar las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema) durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control relacionados indicados en la descripción. La Organización de Servicios XYZ utiliza a una organización de servicios de procesamiento computacional para todos sus procesos de aplicaciones computarizadas. La descripción en las páginas (bb-cc) sólo incluye los controles y objetivos de control relacionados en la Organización de Servicios XYZ y excluye los objetivos de control y controles relacionados en la organización de servicios de procesamiento computacional. Nuestro examen no cubrió los controles de la organización de servicios de procesamiento computacional. Todos los demás párrafos del informe continúan sin cambios. Ejemplo 2: Método Inclusivo Alcance Hemos examinado las descripciones del los sistemas (tipo o nombres de) de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC para procesar las transacciones de las entidades usuarias (o identificación de la función efectuada por el sistema) durante todo el período (fecha) a (fecha) (descripción) y lo adecuado del diseño y de la efectividad operacional de los controles de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC, para lograr los objetivos de control relacionados indicados en la descripción. La Organización de SubServicios ABC, es una organización independiente que proporciona servicios de procesamiento computacional a la Organización de Servicios XYZ. La descripción de la Organización de Servicios XYZ incluye una descripción del sistema (tipo o nombre de) de la Organización de SubServicios ABC utilizada por la Organización de Servicios XYZ para procesar transacciones para sus entidades usuarias, como asimismo los controles pertinentes y los controles de la Organización de Sub-Servicios ABC. Responsabilidades de la Organización de Servicios XYZ En la página xx de la descripción, la Organización de Servicios XYZ y la Organización de SubServicios ABC ha han proporcionado una sus afirmaciones respecto a la razonabilidad de la presentación de la descripción y lo adecuado del diseño y de la efectividad operacional de los controles para lograr los objetivos de control indicados en la descripción. La Organización de Servicios XYZ y la Organización de Sub-Servicios ABC es son responsables por preparar la descripción y la(s) afirmación(es), proporcionar los servicios cubiertos por la descripción, especificar los objetivos de control e indicarlos en la descripción, identificar los riesgos que amenazan el logro de los objetivos de control, seleccionar los criterios y diseñar, implementar y documentar los controles para lograr los objetivos de control relacionados indicados en la descripción. Limitaciones Inherentes Debido a su naturaleza, los controles en una organización de servicios o en una organización de sub-servicios pueden no prevenir, o detectar y corregir todos los errores u omisiones en el procesamiento y en informar las transacciones. Además, la proyección al futuro de cualquier evaluación de la razonabilidad de la presentación de la descripción o cualquier conclusión respecto a lo adecuado del diseño o de la efectividad operacional de los controles para lograr los objetivos de control relacionados está sujeta al riesgo que los controles en la organización de servicios o en la organización de sub-servicios pueden convertirse en inadecuados o fallar. Opinión En nuestra opinión, en todos sus aspectos significativos, a base de los criterios especificados en las afirmaciones de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC en la página (aa): a. La descripción presenta razonablemente el sistema (tipo o nombre de éste) de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC, utilizado por la Organización de Servicios XYZ para procesar transacciones para sus entidades usuarias (o identificación de la función efectuada por el sistema de la organización de servicios) que fue(ron) diseñado(s) e implementado(s) durante todo el período (fecha) a (fecha). b. Los controles relacionados con los objetivos de control de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC indicados en la descripción, fueron adecuadamente diseñados para proporcionar una seguridad razonable que los objetivos de control serían logrados si los controles operaban en efectividad durante todo el período (fecha) a (fecha). c. Los controles de la Organización de Servicios XYZ y de la Organización de Sub-Servicios ABC que fueron sometidos a pruebas por nosotros, los cuales eran los necesarios para proporcionar una seguridad razonable que los objetivos de control indicados en la descripción fueron logrados, operaron con efectividad durante todo el período (fecha) a (fecha). Todos los demás párrafos del informe continúan sin cambios. A71. Planilla A: Afirmaciones Ilustrativas de la Administración de una Organización de Servicios La afirmación por la Administración de la organización de servicios puede ser incluida en la descripción por la Administración del sistema de la organización de servicios o puede ser adjuntado a la descripción. Las siguientes afirmaciones ilustrativas son para las afirmaciones que son incluidas en la descripción. Las siguientes afirmaciones ilustrativas por la Administración sólo son como guías y no pretenden ser exhaustivas o aplicables a todas las situaciones. Ejemplo 1: Afirmación por la Administración de una Organización de Servicios para un Informe Tipo 2 Afirmación de la Organización de Servicios XYZ Hemos preparado la descripción del sistema (tipo o nombre de éste) de la Organización de Servicios XYZ para las entidades usuarias del sistema durante parte o todo el período (fecha) a (fecha) y sus auditores de entidades usuarias quienes tiene un entendimiento suficiente para considerarla, junto con otra información, incluyendo información respecto a controles implementados por las mismas entidades usuarias del sistema, al evaluar los riesgos de representaciones incorrectas significativas de los estados financieros de las entidades usuarias. Confirmamos que, de acuerdo a nuestro mejor conocimiento y saber que: a. la descripción presenta razonablemente al sistema (tipo o nombre de éste) para procesar sus transacciones (o identificación de la función efectuada por el sistema). Los criterios que utilizamos al efectuar esta afirmación fueron que la descripción. i. presenta como el sistema puesto a disposición de entidades usuarias fue diseñado e implementado para procesar transacciones pertinentes, incluyendo: (1) las clases de transacciones procesadas. (2) los procedimientos, dentro de tanto los sistemas automatizados como manuales, por los cuales esas transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas en la medida necesaria y traspasada a los informes presentados a las entidades usuarias del sistema. (3) los registros contables relacionados, información de respaldo y cuentas especificas que son utilizados para iniciar, autorizar, registrar, procesar e informar transacciones, incluyendo esto la corrección de la información errónea y cómo la información es traspasada a los informes presentados a las entidades usuarias del sistema. (4) cómo el sistema capta y trata los hechos y las condiciones significativas, distintos a las transacciones. (5) el proceso utilizado para preparar informes u otra información proporcionada a las entidades usuarias del sistema. (6) objetivos de control especificado y controles diseñados para lograr esos objetivos. (7) otros aspectos de nuestro entorno de control, el proceso de evaluación de riesgos, sistemas de información y de comunicación (incluyendo los procesos de negocios relacionados), actividades de control y controles de monitoreo que son pertinentes a procesar e informar las transacciones de las entidades usuarias del sistema. ii. no omite ni distorsiona información pertinente al alcance del sistema (tipo o nombre de éste), mientras reconoce que la descripción se prepara para cumplir con las necesidades comunes de un amplio rango de entidades usuarias del sistema y de los auditores independientes de esas entidades usuarias, y por lo tanto, pueden no incluir cada aspecto del sistema (tipo o nombre de éste) que cada entidad usuaria individual del sistema y su auditor puedan considerar importante dentro de su propio entorno en particular. b. la descripción incluye detalles pertinentes de cambios al sistema de la organización de servicios durante el período cubierto por la descripción, cuando la descripción cubre un período de tiempo. c. los controles relacionados con los objetivos de control indicados en la descripción fueron diseñados adecuadamente y operaron con efectividad durante todo el período (fecha) a (fecha) para lograr esos objetivos de control. Los criterios que utilizamos al efectuar esta afirmación fueron que i. los riesgos que amenazan al logro de los objetivos de control indicados en la descripción han sido identificados por la organización de servicios, ii. los controles identificados en la descripción proporcionarían, si operaron según lo descrito, una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción no fueren logrados y iii. los controles fueron uniformemente aplicados para lo que fueron diseñados, incluyendo si los controles manuales fueron aplicados por personas que tienen la apropiada competencia y autoridad. Ejemplo 2: Afirmación de la Administración de una Organización de Servicios para un Informe Tipo 1. Afirmación de la Organización de Servicios XYZ Hemos preparado la descripción del sistema (tipo o nombre de éste) de la Organización de Servicios XYZ para las entidades usuarias del sistema al (fecha) y sus auditores de las entidades usuarias quienes tienen entendimiento suficiente para considerarla, junto con la otra información, incluyendo información respecto a los controles implementados por las mismas entidades usuarias, al obtener un entendimiento de la información y de los sistemas de comunicación de las entidades usuarias pertinentes al proceso de preparación y presentación de información financiera. Confirmamos, de acuerdo a nuestro mejor conocimiento y saber que: a. la descripción presenta razonablemente al sistema (tipo o nombre de éste) puesto a disposición de las entidades usuarias del sistema al (fecha) para procesar sus transacciones (o identificación de la función efectuada por el sistema). Los criterios que utilizamos para efectuar esta afirmación fueron que la descripción i. presenta como el sistema puesto a disposición de entidades usuarias del sistema fue diseñado e implementado para procesar transacciones pertinentes, incluyendo (1) las clases de transacciones procesadas (2) los procedimientos, dentro de los sistemas automatizados y manuales, mediante los cuales esas transacciones son iniciadas, autorizadas, registradas, procesadas, corregidas en la medida necesaria y traspasada a los informes presentados a las entidades usuarias del sistema. (3) los registros contables relacionados, información de respaldo y cuentas especificas que son utilizados para iniciar, autorizar, registrar, procesar e informar transacciones, incluyendo esto la corrección de la información errónea y cómo la información es traspasada a las entidades usuarias del sistema. (4) cómo el sistema capta y trata los hechos y las condiciones significativas, distintos a las transacciones. (5) el proceso utilizado para preparar informes u otra información proporcionada a las entidades usuarias del sistema. (6) objetivos de control especificado y controles diseñados para lograr esos objetivos. (7) otros aspectos de nuestro entorno de control, el proceso de evaluación de riesgos, sistemas de información y de comunicación (incluyendo los procesos de negocios relacionados), actividades de control y controles de monitoreo que son pertinentes a procesar e informar las transacciones de las entidades usuarias del sistema. ii. no omite ni distorsiona información pertinente al alcance del sistema (tipo o nombre de éste), mientras reconoce que la descripción se prepara para cumplir con las necesidades comunes de un amplio rango de entidades usuarias del sistema y de los auditores independientes de esas entidades usuarias, y por lo tanto, pueden no incluir cada aspecto del sistema (tipo o nombre de éste) que cada entidad usuaria individual del sistema y su auditor puedan considerar importante dentro de su propio entorno en particular. b. los controles relacionados con los objetivos de control indicados en la descripción fueron diseñados adecuadamente y operaron con efectividad durante todo el período (fecha) a (fecha) para lograr esos objetivos de control. Los criterios que utilizamos al efectuar esta afirmación fueron que i. los riesgos que amenazan al logro de los objetivos de control indicados en la descripción han sido identificados por la organización de servicios, ii. los controles identificados en la descripción proporcionarían, si operaron según lo descrito, una seguridad razonable que esos riesgos no impedirían que los objetivos de control indicados en la descripción fueren logrados.